来自麦克菲公司的安全研究人员称,黑客已把目标瞄准了即将召开的2018年冬季奥运会——平昌奥运。12月22日起,许多与此次赛事相关的组织都陆续遭到鱼叉式钓鱼攻击。攻击者伪装成韩国国家反恐中心,其目的是窃取敏感信息或财务数据。
电子邮件附件是一个恶意微软Word文档,原文件名为농식품부, 평창 동계올림픽 대비 축산악취 방지대책 관련기관 회의 개최.doc(“由农林部和平昌冬奥会组织”)。
攻击分析
恶意文档会指导用户启用内容
该文档包含一个混淆的Visual Basic宏:
当用户点击“启用内容”,恶意文档将启动PowerShell脚本。该文档是由“John”于12月27日15:52创建。
恶意文档会启动以下PowerShell脚本
在命令行手动执行PowerShell脚本。
该脚本远程下载、读取映像文件,并获取、执行植入在映像文件中的隐蔽PowerShell植入脚本。
攻击者使用12月20日发布的开源工具Invoke-PSImage将PowerShell脚本嵌入到映像文件中。 该隐写工具通过将脚本的字节嵌入到映像文件的像素中,使攻击者能够将恶意PowerShell代码隐藏在远程服务器上的可见映像中。以下脚本可确定为由Invoke-PSImage生成,以便远程执行图像中攻击者植入物。
最初的PowerShell脚本。
包含隐藏PowerShell代码的图像。
为了验证隐写的使用,我们使用了StegExpose工具来检查文件:
结果证实我们的文件中存在隐藏数据。
脚本一旦运行,它将解码后的脚本从映像文件传递到Windows命令行的变量$ x,该变量使用cmd.exe执行混淆脚本并通过PowerShell运行。
&&set xmd=echo iex (ls env:tjdm).value ^| powershell -noni -noex -execut bypass -noprofile -wind hidden – && cmd /C%xmd%
提取的脚本严重伪装,联合使用了字符串格式运算符混淆和其他基于字符串的混淆技术。
混淆的PowerShell植入脚本。
攻击者的目标是令分析变得困难,并规避依靠模式匹配的检测技术。 由于混淆在PowerShell中使用本地函数,因此脚本可以在混淆状态下运行并正常工作。
混淆的控制服务器。
当我们混淆控制服务器的URL时,植入物通过SSL与以下站点建立连接:
hxxps://www.thlsystems.forfirst.cz:443/components/com_tags/views/login/process.php.
根据我们的分析,这种植入方式为攻击者的服务器建立了一个加密通道,可能使攻击者能够在受害者机器上执行命令并安装额外的恶意软件。 最终,这个PowerShell植入物将被设置为,通过计划任务(如下所示)每天在凌晨2点自动启动。view.hta包含相同的基于PowerShell的植入,并通过SSL与以下链接建立远程连接:
hxxps://200.122.181.63:443/components/com_tags/views/news.php.
C:\Windows\system32\schtasks.exe” /Create /F /SC DAILY /ST 14:00 /TN “MS Remoute Update” /TR C:\Users\Ops03\AppData\Local\view.hta
view.hta的内容
Apache服务器日志(从2017年12月29日起)。
植入物建立一个加密通道,连接以下URL路径:
hxxps://www.thlsystems.forfirst.cz:443/components/com_tags/views/admin/get.php
2017年12月30日的图像。
12月22日起,恶意文档将PowerShell植入以HTA文件的形式直接嵌入到Word文档中。 McAfee 威胁研究分析师发现了另一个托管在此域名的文档,它的原始标题是위험 경보 (전국야생조류 분변 고병원성 AI(H5N6형) 검출).docx(来自农林部)。 本文档由同一作者“John”于12月22日创建。文档不包含宏,而是嵌入式HTA文件的OLE流。 当点击韩语docx图标时,它启动嵌入的HTA文件Error733.hta。 该文件包含相同的脚本代码来启动PowerShell植入,如view.hta示例。
一个依赖OLE流的早期恶意文件。
攻击总结
这种情况下,基本方法是使用PowerShell的内存植入以及混淆来逃避检测,这是网络攻击中常用且日益流行的无文件技术。
来自韩国国家反恐怖主义委员会的欺诈电子邮件地址
使用韩语
要求用户打开内容,因为文档处于保护模式
将原韩国农林部门域名部分用于注册恶意域名
威胁研究小组发现,越来越多攻击者使用武器化Word文档攻击韩国受害者,而不是传统的攻击方法,即使用利用了韩文文字处理软件漏洞的武器化文档。
领取专属 10元无门槛券
私享最新 技术干货