文档化身商业木马，对“盗神”的分析与溯源

前言

利用文档进行木马传播的手法，最近一段时间随着敲诈类木马的流行，而被广泛利用了起来。与此同时，这个手法也开始被传统木马所借鉴。近日哈勃分析系统捕捉到一类隐私窃取类木马，也开始利用文档作为自身的传播手段。

据分析，此木马通常定向攻击企业商务用户，目前已经有大量受害者的隐私被窃取，包括黎巴嫩，美国，印度，意大利，马来西亚，韩国，尼日利亚，英国，泰国，希腊，墨西哥，越南等国家，在中国境内也发现有中国台湾和广东的企业用户被植入该木马，包括邮箱密码、网站密码、聊天记录、桌面截图等在内的大量隐私遭到泄漏。顺着这个线索，哈勃进一步发现了此木马的制作团体以及进行兜售的网站。

木马的攻击流程可以简要地表示为下图：

在这次事件中，哈勃分析系统捕获到的部分情报如下：

此木马的详细技术分析

一、诱导

木马文件是一个带宏的word文档，后缀名为docm。打开该文档后，其首页内容为诱导性的图片，假称媒体插件未加载，要求用户开启宏以查看内容。

二、释放

当用户点击开启宏之后，文档中的恶意宏文件会开始执行。查看宏代码可以发现，宏的内容经过一定程度的混淆，目的是提高安全人员对其进行破解的难度。

经过分析，此宏的作用是在Temp目录下的一个随机目录名中释放恶意可执行文件，文件的扩展名为“cmd”（中间带一个空格），而文件的本体并非存放在宏之中，而是存放在文档正文之中。

木马作者通过将正文文字设置为白色，以达到隐藏的效果。实际上，这些正文是经过编码的二进制文件，宏通过读取正文并解码后，将真正的恶意数据写入前述目录，即达到释放恶意文件的目的。

三、下载

接下来，宏会运行该可执行文件，此文件的主要作用，是从某网络地址上下载一个名为install.zip的压缩包。该压缩包是加密的，这样可以避免在传输过程中被扫描而报毒。下载完成后，木马会使用密码将压缩包中内容解压到C:\ProgramData\目录下。这个过程中，下载地址和压缩密码均为硬编码在可执行文件中。其中下载地址的有效字符中间填充了大量的空白字符0x20，目的是躲避静态扫描对于字符串的检测。

此外，此文件还会在解压目录中生成一个.gtk.conf配置文件。

四、窃密

压缩包解压后，木马会运行其中的msupd.exe文件，这个文件是执行恶意行为的主程序，它启动后，会检查同目录下是否有.gtk.conf配置文件，这个加密的配置文件设置木马的功能，指导其拉起其它组件，进行各种隐私窃取操作，包括收集密码、键盘记录、屏幕截图等。

1.收集密码

收集密码时使用的是压缩包中的MSASCui.exe程序，其被调用的命令行为：

经过分析发现，此程序实际上是网络上的一个开源项目，LaZagneProject，该项目是一个在计算机上检索存储的密码的程序，支持Windows、Linux/Unix-Like等多种操作系统中，包括系统密码、浏览器密码、聊天软件密码、游戏密码、代码仓库（Git、Svn等）密码、邮箱密码、Wifi密码等在内的大量密码信息。

此项目的源代码是用Python写的，同时提供了Windows下独立的可执行程序版本。通过Python源码我们可以了解其收集密码的一些细节，比如对于IE密码，程序会首先从系统中提取密码数据，Win7及之前的系统是从注册表中提取：

Win8及以后的系统是使用Powershell命令从PasswordVault中提取：

对于提取出来的密码数据，会使用系统中的CryptUnprotectDataAPI解为明文。这是因为，保存的密码数据在Windows系统中是使用CryptProtectDataAPI进行保护的，编码后的数据在另一台电脑甚至同一系统下的不同用户账户都是无法解读的。可是木马利用此开源项目，先在已登录的用户账户下将密码解为明文，再回传给攻击者，就可以绕过此密码保护体系。这一手法也用在了很多其它不同的密码的收集流程中。

在木马中用到的LaZagne是目前的最新版本1.7版。

最终写入PWD.txt中的内容示例为：

2.键盘记录

木马会创建低级键盘钩子记录键盘信息：

3.屏幕截图

屏幕截图相关代码如下：

可以看到其截取的是受害者的全部桌面屏幕：

五、回传

收集到足够的隐私信息后，木马会将这些信息回传到服务器上，回传使用的方式是连接邮件服务器并发送邮件。

当邮件的发件人和收件人并非同一地址时，邮件发送之后本来是无法继续跟踪邮件内容的。有趣的是，在使用捕获到的其中一个木马使用的用户名密码登录邮件服务器之后，可以看到有一些邮件因为被识别为垃圾邮件等原因，被收件人的邮件服务器给退了回来，退回的邮件中包含有发送的邮件原文。

在退回的邮件中，可以发现木马回传的隐私信息。比如如下这个邮件中，就包含了木马在受害者电脑上的屏幕截图和相关日志：

此外，在另一个样本的邮箱中，可以在收件箱中发现更多寄给自己的邮件。这批邮件涉及的企业和隐私内容更加广泛，包括大量的邮箱密码、浏览器保存密码、聊天记录、屏幕截图等内容均遭到泄漏，其中还包括了银行、政府网站登录密码这样的敏感数据。

同时还可以发现，这些邮箱也被用于发送钓鱼邮件，传播带宏的样本：

团体

在最初分析的带宏文档的属性中可以看到，生成该文档的原始语言为波兰语。

Zip包的下载域名所对应的托管公司也位于波兰。同时，在邮箱中也可以发现一些波兰语的邮件。可以猜测，该木马的传播者也位于波兰。

但是，传播者并不等同于制造者。通过进一步分析可以发现，不同的样本使用的具体手法上有所差别，可以认为是由不同的恶意攻击团体在进行操作。可以想象这些木马是由某一个团体开发，然后交到不同的攻击团体手中，经过个性化修改后再进行传播。

顺着这个思路，我们在网上找到了此木马的最初源头。令人惊讶的是，此木马的制作团体已经开发了一整套完整的商业项目，将此木马在网络上进行兜售，售价从15美元/月到75美元/永久不等。从网站上给出的截图可以看出，木马除了通过邮箱回传信息之外，还支持通过FTP或PHP网页回传隐私信息。

通过网站上的自我介绍以及域名相关查询结果，基本可以确定此木马的制作者是位于希腊的团体。

*企业账号：腾讯电脑管家，转载请注明来自FreeBuf（FreeBuf.COM）