社工方法加載OLE對象,更改瀏覽器代理設(shè)置竊取信息

責(zé)任編輯:editor005

2016-09-09 15:14:00

摘自:黑客與極客

隨著 Windows 安全性的明顯提高和緩解措施的利用,攻擊者為了避免昂貴的漏洞利用成本,更傾向于采用低成本的社會工程方法進行攻擊

隨著 Windows 安全性的明顯提高和緩解措施的利用,攻擊者為了避免昂貴的漏洞利用成本,更傾向于采用低成本的社會工程方法進行攻擊。最近,我們發(fā)現(xiàn)了使用社工方法加載惡意OLE 對象,通過更改用戶瀏覽器代理設(shè)置來竊取敏感信息的攻擊。

1 攻擊樣本

攻擊通過郵件附件方式傳播:

圖:郵件樣例

在郵件附件.docx文件中,是一個雙擊可運行腳本的OLE嵌入對象,它通過一個類似發(fā)票或收據(jù)的圖標(biāo)來掩飾自身。

圖:附件配有德語標(biāo)題”要查看收據(jù),請雙擊運行“

雙擊圖片之后,運行了一個貌似正常的JScript文件,但是,如果腳本被正常執(zhí)行,它將產(chǎn)生惡意行為:

圖:JS腳本通常名為paypal_bestellung.js或post.ch_65481315.js

2 JScript 腳本內(nèi)容和功能

解密腳本

該腳本為加密代碼:

圖:JS腳本加密樣本

腳本釋放并執(zhí)行惡意組件,同時更改瀏覽器代理設(shè)置相關(guān)的注冊表項。經(jīng)過解密后的代碼主體為:

圖:解密后的代碼主體

內(nèi)置文件

在該 JScript 代碼中又內(nèi)置多個PowerShell腳本和一個認(rèn)證證書,證書經(jīng)過認(rèn)證之后,用來監(jiān)聽HTTPS流量信息:

圖:用左邊函數(shù)解密后發(fā)現(xiàn)的其它惡意組件

受害者電腦的臨時文件夾中將會釋放和執(zhí)行以下組件:

圖:釋放的惡意組件樣本

惡意程序的自帶認(rèn)證證書cert.der :

圖:證書通用信息

圖:證書詳細(xì)信息

圖:證書認(rèn)證信息

內(nèi)置惡意組件功能

cert.der :攻擊者在證書通過認(rèn)證之后,可以監(jiān)聽用戶HTTPS的流量信息:

圖:證書被加載之后的截圖

ps.ps1:(PowerShell腳本)負(fù)責(zé)檢查確認(rèn)證書被正常安裝:

圖: ps.ps1 代碼截圖

psf.ps1: 負(fù)責(zé)在火狐瀏覽器中安裝證書,因為Mozilla一般不使用系統(tǒng)提供的第三方證書,只支持自身證書庫證書。

圖: psf.ps1代碼截圖

pstp.ps1:負(fù)責(zé)安裝Tor客戶端插件、任務(wù)計劃程序task scheduler和代理軟件proxifier。這是惡意程序篡改瀏覽器代理設(shè)置的一種方法。

圖: pstp.ps1代碼截圖

更改注冊表

為了達到更改瀏覽器代理設(shè)置的目的,該JScript腳本還對瀏覽器相關(guān)的注冊表項進行篡改:

子鍵:HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings

篡改項:AutoConfigURL

篡改之后的值:http://pysvonjm6a7idbkz.onion/rejtyahf.js?ip=

圖: 更改注冊表鍵值

當(dāng)用戶使用瀏覽器進行網(wǎng)站訪問后,將會返回以下代碼。代碼執(zhí)行的功能可能是更改用戶瀏覽器代理設(shè)置,重定向到某個惡意釣魚或廣告站點。

圖: 代碼中包含function FindProxyForURL(url,host){return”DIRECT”}

3 總結(jié)與建議

當(dāng)系統(tǒng)受到這種攻擊感染之后,包括HTTPS在內(nèi)的WEB流量信息將會被惡意代理端劫持。攻擊者可以實現(xiàn)遠(yuǎn)程重定向、更改和監(jiān)控用戶的瀏覽器使用信息,當(dāng)然,一些儲存在瀏覽器中的敏感數(shù)據(jù)和密碼憑據(jù)等信息也會悄悄變成攻擊者的囊中之物。

建議:

不打開來歷不明的郵件;

不瀏覽不受信網(wǎng)站;

參照我們前期的分析博客,如果有以下注冊表值,可進行更改:

HKCUSoftwareMicrosoftOfficeSecurityPackagerPrompt.

Office Version:

16.0 (Office 2016) 15.0 (Office 2013) 14.0 (Office 2010) 12.0 (Office 2007)

Office application: word excel...

更改鍵值:

0 點擊對象,執(zhí)行但不提示。

1 點擊對象,執(zhí)行并提示

2 點擊對象,不提示不執(zhí)行。

**編譯來源:technet.microsoft

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號