一、背景
五月十一日,我們的蜜罐系統(tǒng)捕獲到來自xxxxxxxxx@uscourtsgov.com郵箱的釣魚郵件。其中uscourtsgov就已經(jīng)是一個(gè)很唬人的服務(wù)器名稱了。郵件偽裝美國法院的傳票,并會(huì)要求受害者打開郵件的附件(一個(gè)加密的word文檔)了解詳細(xì)的信息。
這個(gè)釣魚郵件很有意思,作者對(duì)文檔進(jìn)行加密,可以有效的防止各個(gè)郵件服務(wù)器的攔截,并且會(huì)給受害者營造一個(gè)神秘的氛圍,讓人忍不住就想打開瞧一瞧。我們輸入文檔密碼,word提示我們是否啟用宏。
當(dāng)我們啟用宏后,會(huì)看到一個(gè)提示信息。大體的意思是,“本文檔無法打開,請(qǐng)更換一臺(tái)計(jì)算機(jī)試試“。看到這里讀者們是不是很奇怪,我們明明打開了文檔,為什么還會(huì)出現(xiàn)類似兼容性的提示呢?其實(shí)這個(gè)提示信息應(yīng)該是宏產(chǎn)生,作者的目的是想讓受害者在多個(gè)計(jì)算機(jī)中打開這個(gè)文檔。作者的小心思可見一斑啊。
點(diǎn)擊確定后顯示給我們的是word的文本內(nèi)容,文檔模仿成一個(gè)微軟的信息提示。內(nèi)容的大體意思是提示受害者這個(gè)文檔要在pc上使用MS打開,并且要允許宏運(yùn)行。作者這么做的目的是為了防止此文檔在web或其他應(yīng)用中打開,導(dǎo)致宏無法運(yùn)行
我們可以看出此釣魚郵件是經(jīng)過精心設(shè)計(jì)的,既然花了這么大的心思,作者對(duì)于后續(xù)的攻擊也肯定是付出了很大的努力。這次釣魚郵件的分析也將是一場有趣的旅程。
二、攻擊流程
我們?cè)趫?zhí)行完word文檔后,發(fā)現(xiàn)系統(tǒng)出現(xiàn)了一些可疑的網(wǎng)絡(luò)行為,所以在進(jìn)行詳細(xì)分析之前,我們先總體上對(duì)釣魚郵件的攻擊流程進(jìn)行跟蹤,從宏觀上掌握此次事件的整體流程,隨后再對(duì)具體的步驟進(jìn)行詳細(xì)的分析。大體的分析出了以下的攻擊步驟:
1. 受害者接收釣魚郵件,打開郵件附件的word文檔,并執(zhí)行宏腳本。
2. 宏腳本下載執(zhí)行一個(gè)名為background的惡意文件,并彈出系統(tǒng)不兼容的提示框。
3. background下載一個(gè)名為taskwgr.exe的自解壓文件,解壓生成兩個(gè)文件install.sql和svchost.exe。4. taskwgr.exe執(zhí)行svchost.exe。svchost.exe文件將install.sql解密,執(zhí)行。
5. install.sql會(huì)連接tor網(wǎng)絡(luò),然后加密受害者計(jì)算機(jī)的文件,彈出勒索信息。
攻擊流程圖:
三、word宏分析
如果允許宏運(yùn)行,很遺憾,受害者的計(jì)算機(jī)很有可能會(huì)受到后續(xù)的一系列攻擊。
那么宏到底做了什么?就讓我們一起來研究一下。我們先將word文檔密碼去掉,另存為一個(gè)新的文檔。
我們查看宏的內(nèi)容,此時(shí)會(huì)發(fā)現(xiàn)文檔中宏及VB工程都是空的。
好吧,看來我們沒那么容易獲取到宏代碼。攻擊者還算是想的比較周密,將代碼隱藏了起來。
在word中啟用文檔宏,點(diǎn)擊確定時(shí),按住SHIFT,阻止宏自動(dòng)執(zhí)行。再次打開VB編輯器,現(xiàn)在文檔中的VB工程出現(xiàn)了,打開時(shí)會(huì)發(fā)現(xiàn)工程被加了密碼。
不過VB工程的密碼可以通過破壞工程文件加密結(jié)構(gòu)的方法將其破壞,我們還是可以獲取到代碼的。首先將文檔另存為docm格式,因?yàn)樾掳鎜ffice文件是zip格式。
然后再將保存出來的docm擴(kuò)展名修改為zip,解壓。
在解壓出來的目錄中,可以找到word/vbaProject.bin,該文件就是word文檔的VB工程文件。
用16進(jìn)制編輯器打開,找到“CMG=”和“DPB=”,這里就是VB文檔的加密結(jié)構(gòu),因?yàn)閣ord的處理機(jī)制問題,只需要將DPB改為DPx即可使密碼失效。
找到“DPB=”字符串,直接將DPB改為DPx,這樣密碼就失效了。
將之前解壓出來的目錄重新打包成zip格式的docm文件
現(xiàn)在打開保存出來的docm文件,啟用宏,word會(huì)提示DPx無效,點(diǎn)擊“是”的時(shí)候需要按住shift阻止代碼自動(dòng)執(zhí)行。
再次打開VB編輯器,就可以看到文檔的VB宏內(nèi)容了。
我們成功獲取到了宏代碼,這段VB的實(shí)際操作為比較簡單,具體行為如下:
1從http://185.189.58.xxx/~filehost/ background.png下載一個(gè)PE文件
2、將文件保存為$TEMP$/svchost.exe
3、執(zhí)行該文件
4、彈出消息框,大致意思為:“系統(tǒng)不支持該加密文檔,請(qǐng)嘗試在其他機(jī)器上打開”
5、關(guān)閉word文檔
四、background行為分析
word宏的目的是下載一個(gè)PE文件,那么我們接下來需要對(duì)該P(yáng)E文件進(jìn)行分析。我們針對(duì)樣本關(guān)鍵的內(nèi)容進(jìn)行討論,為了敘述方便,我們下文都將樣本稱之為background。
1.background是由NSIS制作的安裝程序。background會(huì)獲取臨時(shí)路徑,這將是background接下來的工作路徑。
2.在臨時(shí)目錄創(chuàng)建一個(gè)文件夾,用于存放釋放的文件。
3.接下來background會(huì)釋放出一個(gè)用于加密解密的動(dòng)態(tài)鏈接庫wpoke.dll。
4.background加載wpoke.dll,使用其中導(dǎo)出的DecryptSymmetric函數(shù)進(jìn)行數(shù)據(jù)解密。
解密兩段加密數(shù)據(jù),其中第一段為訪問下載的URL。
第二段為文件名稱svchost.exe 。
5.接下來釋放用于下載的INetC.dll。其中釋放代碼與wpoke.dll代碼相同。然后加載INetC.dll,調(diào)用其中的get函數(shù)進(jìn)行下載。
6. 將下載文件保存為用戶的ApplicationData目錄下taskwgr.exe,啟動(dòng)taskwgr.exe
至此我們已經(jīng)清楚background的主要行為了。background是個(gè)下載器,主要目的是下載taskwgr.exe文件,并運(yùn)行。
五、taskwgr.exe行為分析
分析taskwgr.exe可以發(fā)現(xiàn)taskwgr.exe并不是一個(gè)PE文件,而是個(gè)加密的winrar自解壓文件。我們通過捕獲background的CreateProcess可以截取到taskwgr.exe的解壓密碼。
使用密碼解壓taskwgr.exe文件,釋放出install.sql和svchost.exe。從擴(kuò)展名上看install.sql是個(gè)數(shù)據(jù)文件。我們先分析svchost.exe,會(huì)發(fā)現(xiàn)svchost.exe加殼了,脫殼后的主要代碼如下圖。
svchost.exe讀取install.sql文件(解密后實(shí)際上是一個(gè)新的PE可執(zhí)行文件),創(chuàng)建一個(gè)自身的子進(jìn)程,將解密后PE內(nèi)容直接寫入子進(jìn)程的進(jìn)程中,達(dá)到執(zhí)行并隱藏該行為的目的
六、install.sql行為分析
解密的install.sql是一個(gè)勒索病毒,主要流程為:
1.檢測系統(tǒng)信息,獲取了系統(tǒng)版本、用戶名、機(jī)器名,訪問http://ip-api.com/json獲取本地 IP信息
2.下載Tor
https://archive.torproject.org/tor-package-archive/torbrowser/7.0/tor-win32-0.3.0.7.zip
下載了tor,保存在
AppData\Roaming\Microsoft\B284A9B11BD4B45CDAF4B8CF39A4B97B\System.zip
3.當(dāng)下載完成后,解壓,并將tor.exe重命名為svchost.exe,然后執(zhí)行。(tor原本被以隱藏方式執(zhí)行,手動(dòng)將其改為正常顯示)
可以發(fā)現(xiàn)作者在程序中設(shè)置了tor代理,之后將通過tor發(fā)送網(wǎng)絡(luò)請(qǐng)求
4.然后樣本根據(jù)系統(tǒng)信息,補(bǔ)上了連接的參數(shù)部分,連接自己的服務(wù)器
http://lzt4y6qj7azyldq2.onion/control.php?uid=B284A9B11BD4B45CDAF4B8CF39A4B97B&uname=Fate&os=Windows7&pcname=WIN-UBAA1MQALH9&total=8970&country=China&network=yes&subid=1595.
在加密完系統(tǒng)中的文件后,會(huì)放出勒索信息,同時(shí)向服務(wù)端發(fā)送相應(yīng)的信息
勒索信息
七、后續(xù)和總結(jié)
我們將此次涉及到的惡意ip在我們自有的惡意情報(bào)平臺(tái)進(jìn)行查詢。搜集到一些關(guān)于此次釣魚郵件事件的信息:
相關(guān)病毒文件
URLs
Date scanned Detections URL
2018-05-14 5/67 http://185.189.58.xxx/~filehost/scan_05_05_2018.doc?VGZbmiGdjdbrXrDCozJxbSTL
2018-05-14 5/67 http://185.189.58.xxx/~filehost/scan_05_05_2018.doc?ckeRwnnATifPUAVXIKGUg
2018-05-14 3/67 http://185.189.58.xxx/~filehost/1/scan_05_07_2018.doc?UwtmZfooHBtFn
2018-05-13 4/67 http://185.189.58.xxx/~filehost/message.gif?iLbhFrEfVgEtV
2018-05-12 12/68 http://185.189.58.xxx/~filehost/background.png
從相關(guān)病毒文件可以看出來,樣本最初出現(xiàn)的時(shí)間在五月份初。攻擊者通過偽造法院的傳票,發(fā)送釣魚郵件來傳播勒索病毒。郵件通常是發(fā)給目標(biāo)的企業(yè)員工,攻擊其文件加密,從而進(jìn)行勒索。雖說勒索病毒需要連接到tor網(wǎng)絡(luò),國內(nèi)的小伙伴并不需要過分擔(dān)心。但還是要提醒各位讀者,不要隨便點(diǎn)擊來路不明的郵件附件,請(qǐng)使及時(shí)對(duì)計(jì)算機(jī)中的重要資料進(jìn)行備份,防止不必要的損失。
我們會(huì)對(duì)此次事件進(jìn)行持續(xù)追蹤和關(guān)注。
| 
