恶意软件分析–恶意宏
介绍
据观察,高级持久威胁(APT-C-35)小组总部设在印度,据观察,他们使用鱼叉式网络钓鱼电子邮件瞄准了巴基斯坦的政府和军事人员。该威胁组织已经存在了好几年,对南亚的政治和军事实体进行情报行动。这是APT演员对巴基斯坦政府发起的新一轮攻击。鉴于该地区与印度之间的历史紧张关系以及最近的地缘政治紧张局势加剧,对巴基斯坦政府的网络攻击继续发生也就不足为奇了。该小组还展示了在过去的运营中针对手机用户的能力。该组织在针对巴基斯坦商人时冒充了巴基斯坦国家银行。
但是,这并不是针对巴基斯坦组织的唯一攻击。最近,发现SideWinder小组针对巴基斯坦和中国的Windows机器和移动设备。Rewterz威胁情报还于4月发布了针对巴基斯坦政府官员的SideWinder的详细分析。
MITRE ATT&CK表
APT-C-35集团分析报告
文件识别
属性 | 值 |
|---|---|
文件名 | 项目管理 |
文件类型 | XLS |
文件信息 | MS Excel电子表格 |
文件大小 | 155.00 KB(158720字节) |
MD5 | 4428912F168F3F1F0554126DE7B4ECED |
SHA-1 | b958b4fc7a8bbc0b598df67cb47b04b9efe8f63f |
SHA-256 | c3ccf4fc47d67afeb30728c67800ad9ff5727bb191ec9838b16cd63d450258a9 |
病毒总分 | 30/61 |
混合分析得分 | 风险因素超过50% |
分析总结
Rewterz观察到由APT-C-35小组发起的鱼叉式网络钓鱼活动。我们的威胁情报团队获取了鱼叉式网络钓鱼电子邮件,并发现该电子邮件包含描绘为合法项目管理文档的附件(Microsoft Excel文档)。
根据对Excel文件的详细分析,可以发现Excel包含20个不同的工作表和嵌入的恶意宏代码。还观察到,当受害者打开文档时,将执行一个宏(workbook_open),该宏向受害者显示一个消息框,表明“ Microsoft Excel停止工作”(在宏中进行硬编码)。然后,它并行执行批处理文件(名为s.bat),其中包含创建文件夹和文件“ Temp”和“ Appdata”(在代码中进行了硬编码)的逐步说明。创建后,它将隐藏文件和文件夹,并将计算机名保存在攻击者在Appdata文件夹中创建的另一个文件名(agnia)中。一旦完成文件和文件夹的创建,并且攻击者隐藏了文件的属性,则它将在创建的目录(Appdata文件夹)中提取名为“ sqmap.dll”的实际有效负载dll。
经过分析,发现sqmap.dll包含一个名为“ calldll”的函数,该函数包含一个CnC服务器地址。然后,攻击者通过Rundll32.exe(用于执行dll的Microsoft Windows本机二进制文件)及其子函数作为dll的参数(sqmap.dll)执行sqmap.dll。它通过在保加利亚托管的HTTP端口80向其CnC服务器发起一个get请求连接,以执行其进一步的活动(目标操作)。当前,发现受感染的系统对CnC服务器发起的请求在URL参数中包含多个参数,并且CnC服务器当前以404错误(未找到页面)进行响应。所有活动都是通过包含逐行指令的批处理脚本执行的,并且嵌入在宏中,该宏在'APPDATA'目录中创建了名为's.bat'的批处理文件。
特点
以下是受害者调用或打开时在Excel文档中观察到的特征。
- 当受害者打开excel文件时,XLS文件会提示用户启用。如果用户启用了宏,则用户将收到提示“ Excel已停止工作”。
- 通过对excel内部工作表的分析,发现了以下定义的一系列工作表:
- 宏扫描仪显示Excel文档具有嵌入s.bat文件创建过程的Excel文件中嵌入的一些可疑和异常功能。
在搜索VBA脚本时,我们还发现“本工作簿”工作表包含某种脚本,这些脚本在以下几点中逐一定义:
A)首先,我们提取了在“此工作簿”工作表的宏中运行的脚本,我们发现该脚本正在创建一个带有故意消息的消息框,即“ Microsoft Excel已停止工作”。
B)在脚本中还定义了“ S.bat”和“ S”文件应放在某些文件夹中。
C)在最后一行中,已声明s.bat可以启动https请求,然后应使用vbhide函数隐藏自身。
在浏览完主表之后,我们将主XLS文件分解为原始字符串,然后在以下几点找到了另一种脚本:
A)在查看脚本时,已观察到存在于“%USERPROFILE%\ Files \ Shared \ Web \”目录中的gapdat.exe文件的计划任务,该目录似乎不合法,因此似乎gapdat.exe充当已在此目录中创建的依赖文件。
B)在excel文件脚本的原始字符串的第一行中观察到了“ s”文件的移动,该文件已从%AppData%移动到目录“%USERPROFILE%\ Viewer \ Information \ Policy”,并且在移动后,发现尝试将文件“ s”重命名为“ Sqmap.dll”,如下所示:
C)可以注意到在其中发现了gapdat.exe和sqmap.dll文件的文件夹的属性修改。根据脚本语言,用于更改属性的三个标志分别位于“ + a”,“ + h”,“ + s”之后,这三个标志用于归档,隐藏和使文件夹成为DOS操作的一部分。
D)已观察到另一个计划任务创建,该XLS文件正在使用rundll32.exe进程调用sqmap.dll,该进程存在于另一个异常目录“%USERPROFILE%\ Viewer \ Information \ Policy”中。
- 现在,在移至sqmap.dll之后,已经发现sqmap.dll设计为通过使用一些基于“ WinHTTP.h” API的Windows内置函数生成HTTP请求和响应,如下所示:
[注意:从sqmap.dll的原始格式中发现了相同的内容]
- 另外,在查看XLS文档的BIFF结构之后,我们发现它在二进制存储器中的地址5ch和8DH上使用WRITEACCESS&HIDEOBJ。
依存关系
以下是恶意软件代码中已观察到的依赖性以及执行所需的用户交互。
- 据观察,当受害者打开文档并启用宏时,此恶意软件提供了“自动运行/自动执行”功能。被感染的计算机会自动建立文件创建和CnC连接。
- 该恶意软件的设计与Windows环境兼容。
以下是此攻击的完整流程图。
通过分析发现行为
以下是此恶意软件的行为:
- 当受害者打开文档并启用宏时,受害者将看到以下消息框。
- 在后台,恶意软件随后通过在端口80上运行rundll32.exe托管的sqmap.dll,在IP地址185.141.61 [。] 120上进行公共通信,如下所示:
- 进一步的分析证实,它每30秒左右对C2服务器进行一次轮询。它使用固定的用户代理字符串“ Mozilla / 5.0(Windows NT 6.1; WOW64; rv:52.0)Gecko / 20100101 Firefox / 52.0”,并对http [:] // dnsresolve [。] live / xx /执行HTTPS GET。 xx。
- 在分析宏后,发现崩溃和上面显示的消息被植入,以使用户相信文件已损坏并关闭。突出显示的部分显示了事件。在对工作簿宏进行进一步分析后,可以发现该宏在此目录中创建了一个文件。
•C:\ User \ XYZ \ Users \ AppData \ Roaming。
•文件名是“ s”和“ s.bat”
- 经过分析,还从代码中发现rundll32.exe使用了sqmap.dll并使用了calldll函数,因此,在监视rundll32.exe进程网络活动之后,我们发现了如下代码中定义的类似行为: :
- 进一步的分析证实了这一发现,并表明调用了该过程,任务管理器进一步验证了结果以及与IP 185.141.61 [。] 120的tcp连接。
- 经过每一步,最终dropper本身将使用外壳执行技术,并开始请求和响应CNC服务器。
妥协指标
请访问我们的IoC威胁建议。
整治
为了对此进行补救,以下定义了以下几点:
- 与IP“ 185.141.61 [。] 120”一起阻止被阻止的网址dnsresolve [。]
- 在分析部分中说明的相关目录中搜索gapdat.exe,sqmap.dll和s.bat并将其删除。
- 禁用Bat扩展文件执行。
- 密切监视rundll32.exe进程是否存在任何可疑活动。
- 密切监视URL字符串异常和长度异常的URL。
- 与EDR和端点控件上的该恶意软件文件相关联的块哈希。
- 删除不必要的Appdata和临时条目。
谨防网络犯罪分子采用的社会工程技术(包括用于仿冒电子邮件,假冒电话以及欺诈性企业和域名的策略)有效应对可疑的妥协。
以上分析是在Rewterz威胁情报实验室的受控环境中执行的。如果您有任何需要分析的恶意软件样本和二进制文件,请与我们联系。
结论
分析后得出结论,示例excel文件充当信标。它使用Microsoft Excel的宏功能建立与命令和控制服务器的连接。由于宏允许脚本编写,因此需要启用触发器,如果用户在打开此excel文档时意外或有意启用了这些宏,它将开始启动对命令和控制服务器的调用。但是,在数据包捕获中未观察到来自命令和控制服务器的响应。