针对平昌冬奥会的恶意软件攻击分析

来自麦克菲公司的安全研究人员称,黑客已把目标瞄准了即将召开的2018年冬季奥运会——平昌奥运。12月22日起,许多与此次赛事相关的组织都陆续遭到鱼叉式钓鱼攻击。攻击者伪装成韩国国家反恐中心,其目的是窃取敏感信息或财务数据。

电子邮件附件是一个恶意微软Word文档,原文件名为농식품부, 평창 동계올림픽 대비 축산악취 방지대책 관련기관 회의 개최.doc(“由农林部和平昌冬奥会组织”)。

攻击分析

恶意文档会指导用户启用内容

该文档包含一个混淆的Visual Basic宏:

当用户点击“启用内容”,恶意文档将启动PowerShell脚本。该文档是由“John”于12月27日15:52创建。

恶意文档会启动以下PowerShell脚本

在命令行手动执行PowerShell脚本。

该脚本远程下载、读取映像文件,并获取、执行植入在映像文件中的隐蔽PowerShell植入脚本。

攻击者使用12月20日发布的开源工具Invoke-PSImage将PowerShell脚本嵌入到映像文件中。 该隐写工具通过将脚本的字节嵌入到映像文件的像素中,使攻击者能够将恶意PowerShell代码隐藏在远程服务器上的可见映像中。以下脚本可确定为由Invoke-PSImage生成,以便远程执行图像中攻击者植入物。

最初的PowerShell脚本。

包含隐藏PowerShell代码的图像。

为了验证隐写的使用,我们使用了StegExpose工具来检查文件:

结果证实我们的文件中存在隐藏数据。

脚本一旦运行,它将解码后的脚本从映像文件传递到Windows命令行的变量$ x,该变量使用cmd.exe执行混淆脚本并通过PowerShell运行。

&&set xmd=echo iex (ls env:tjdm).value ^| powershell -noni -noex -execut bypass -noprofile -wind hidden – && cmd /C%xmd%

提取的脚本严重伪装,联合使用了字符串格式运算符混淆和其他基于字符串的混淆技术。

混淆的PowerShell植入脚本。

攻击者的目标是令分析变得困难,并规避依靠模式匹配的检测技术。 由于混淆在PowerShell中使用本地函数,因此脚本可以在混淆状态下运行并正常工作。

混淆的控制服务器。

当我们混淆控制服务器的URL时,植入物通过SSL与以下站点建立连接:

hxxps://www.thlsystems.forfirst.cz:443/components/com_tags/views/login/process.php.

根据我们的分析,这种植入方式为攻击者的服务器建立了一个加密通道,可能使攻击者能够在受害者机器上执行命令并安装额外的恶意软件。 最终,这个PowerShell植入物将被设置为,通过计划任务(如下所示)每天在凌晨2点自动启动。view.hta包含相同的基于PowerShell的植入,并通过SSL与以下链接建立远程连接:

hxxps://200.122.181.63:443/components/com_tags/views/news.php.

C:\Windows\system32\schtasks.exe” /Create /F /SC DAILY /ST 14:00 /TN “MS Remoute Update” /TR C:\Users\Ops03\AppData\Local\view.hta

view.hta的内容

Apache服务器日志(从2017年12月29日起)。

植入物建立一个加密通道,连接以下URL路径:

hxxps://www.thlsystems.forfirst.cz:443/components/com_tags/views/admin/get.php

2017年12月30日的图像。

12月22日起,恶意文档将PowerShell植入以HTA文件的形式直接嵌入到Word文档中。 McAfee 威胁研究分析师发现了另一个托管在此域名的文档,它的原始标题是위험 경보 (전국야생조류 분변 고병원성 AI(H5N6형) 검출).docx(来自农林部)。 本文档由同一作者“John”于12月22日创建。文档不包含宏,而是嵌入式HTA文件的OLE流。 当点击韩语docx图标时,它启动嵌入的HTA文件Error733.hta。 该文件包含相同的脚本代码来启动PowerShell植入,如view.hta示例。

一个依赖OLE流的早期恶意文件。

攻击总结

这种情况下,基本方法是使用PowerShell的内存植入以及混淆来逃避检测,这是网络攻击中常用且日益流行的无文件技术

来自韩国国家反恐怖主义委员会的欺诈电子邮件地址

使用韩语

要求用户打开内容,因为文档处于保护模式

将原韩国农林部门域名部分用于注册恶意域名

威胁研究小组发现,越来越多攻击者使用武器化Word文档攻击韩国受害者,而不是传统的攻击方法,即使用利用了韩文文字处理软件漏洞的武器化文档。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180109F0RA4100?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券