概述
近日,Proofpoint的安全研究專家們發(fā)現(xiàn)了一種基于附件的新型惡意軟件傳播方式。在安全人員所檢測(cè)到的惡意軟件活動(dòng)中,攻擊者利用的是Windows操作系統(tǒng)中一個(gè)名為“故障診斷平臺(tái)”(WTP)的功能。這一功能原本可以幫助用戶解決那些Windows日常使用過程中所遇到的問題,但是在攻擊者的眼中,它卻成為了一個(gè)非常實(shí)用的攻擊工具。在社會(huì)工程學(xué)的幫助下,攻擊者或可利用該功能來在目標(biāo)用戶的計(jì)算機(jī)中運(yùn)行惡意軟件。
安全研究專家發(fā)現(xiàn),這種攻擊方式的實(shí)際效率非常的高,因?yàn)楫?dāng)Windows系統(tǒng)運(yùn)行故障診斷平臺(tái)的時(shí)候并不會(huì)彈出任何形式的安全警告,而當(dāng)系統(tǒng)彈出了故障診斷窗口之后,用戶們也早已習(xí)慣于直接通過該平臺(tái)來解決使用過程中的一些疑難問題了。
詳細(xì)分析
在此次所發(fā)現(xiàn)的惡意軟件活動(dòng)中,攻擊者使用了Windows的故障診斷平臺(tái)來傳播LatentBot。當(dāng)用戶感染了這一惡意軟件之后,攻擊者不僅可以對(duì)用戶進(jìn)行監(jiān)控,而且還可以從目標(biāo)主機(jī)中竊取各類數(shù)據(jù)。這也就意味著,攻擊者將獲取到目標(biāo)主機(jī)的遠(yuǎn)程訪問權(quán)。
圖片1:Windows故障診斷平臺(tái)的體系架構(gòu)
攻擊者可以向目標(biāo)用戶發(fā)送一封電子郵件,并在郵件中附帶一份看起來非常“誘人”的附件。當(dāng)然了,用戶最終是否會(huì)打開郵件附件,完全取決于用戶的個(gè)人經(jīng)驗(yàn)和攻擊者的社工技巧。需要注意的是,這也是一種典型的惡意軟件傳播方式。
當(dāng)用戶打開了附件之后,屏幕中會(huì)顯示出一個(gè)包含亂碼的文檔,此時(shí)Word的右上角會(huì)溫馨地提示用戶“雙擊以自動(dòng)檢測(cè)字符集”。如果目標(biāo)用戶選擇同意,那么他們這一次就真正地打開了一個(gè)嵌入在附件內(nèi)部的OLE對(duì)象,這個(gè)對(duì)象是一個(gè)經(jīng)過數(shù)字簽名的DIAGCAB文件。DIAGCAB是Windows故障診斷包的后綴名,“.Diagcab”文件是包含故障診斷腳本的專用存檔。
圖片2:惡意附件的窗口;
如上圖所示,攻擊者利用了社工學(xué)的技巧來欺騙用戶雙擊并執(zhí)行OLE對(duì)象。
當(dāng)用于攻擊的惡意“.Diagcab”文件被打開之后,用戶就會(huì)看到如圖3所示的界面,這個(gè)界面的可信度確實(shí)非常高,普通用戶幾乎無法對(duì)其安全性進(jìn)行準(zhǔn)確的辨別。如果用戶點(diǎn)擊了對(duì)話框中的“下一步”按鈕,那么應(yīng)用程序?qū)?huì)執(zhí)行與之相對(duì)應(yīng)的故障診斷腳本。在這種攻擊活動(dòng)中,攻擊者運(yùn)行的是一個(gè)PowerShell命令,并通過這個(gè)命令來下載并執(zhí)行惡意payload。
圖片3:已簽名的故障診斷包;
請(qǐng)注意,簽名證書中所顯示的發(fā)布者與攻擊活動(dòng)并沒有任何關(guān)系。因?yàn)楣粽咂平饬艘粋€(gè)有效的證書,并用這個(gè)合法證書來進(jìn)行惡意軟件的傳播活動(dòng)。
圖片4:惡意軟件payload的下載
在用戶毫不知情的情況下,故障診斷包可以通過一個(gè)PowerShell腳本在后臺(tái)自動(dòng)下載惡意軟件的payload。
我們可以從圖片5和圖片6中看到,通過修改故障診斷包的XML數(shù)據(jù),攻擊者可以自定義設(shè)置彈出對(duì)話框的外觀和提示信息、它所要執(zhí)行的任務(wù)、以及相應(yīng)的執(zhí)行腳本。比如說,在下圖給出的XML格式數(shù)據(jù)中,我們可以將對(duì)話框的標(biāo)題設(shè)置為“Encodingdetection”,然后指定“Troubleshooter”為一個(gè)名為“TS_1.ps1”的PowerShell腳本。
圖片5:診斷包引用了一個(gè)惡意PowerShell文件來作為執(zhí)行腳本;
在這一攻擊活動(dòng)中,這個(gè)PowerShell腳本專門負(fù)責(zé)在目標(biāo)用戶的計(jì)算機(jī)中下載惡意paylaod,相關(guān)信息如圖6所示:
圖片6:用于下載惡意payload的PowerShell命令;
這種惡意軟件執(zhí)行方式可以繞過目前大部分沙箱產(chǎn)品的檢測(cè),因?yàn)閻阂廛浖虞d的是“.diagcab”文件,并在msdt.exe外部完成了所有的惡意操作。這也是一種新的攻擊發(fā)展趨勢(shì),因?yàn)楝F(xiàn)在很多惡意軟件的開發(fā)者會(huì)通過基于CO對(duì)象的非標(biāo)準(zhǔn)執(zhí)行流來尋找新型的沙箱繞過方法。在此之前,有的攻擊者還會(huì)利用WMI、Office辦公套件、后臺(tái)智能傳輸服務(wù)、以及計(jì)劃任務(wù)等功能來實(shí)現(xiàn)沙箱繞過。在這一攻擊活動(dòng)中,攻擊者在msdt.exe中創(chuàng)建了一個(gè)IScriptedDiagnosticHostCOM對(duì)象,DcomLaunch服務(wù)便會(huì)啟動(dòng)“腳本診斷主機(jī)”服務(wù)(sdiagnhost.exe),而該服務(wù)便會(huì)執(zhí)行相應(yīng)的shell腳本命令,即上圖所示的PowerShell腳本。
在此次攻擊活動(dòng)中,攻擊者使用的是一個(gè)模塊化的后門,即LatentBot。FireEye在2015年末曾發(fā)布過一篇針對(duì)這一惡意后門的詳細(xì)分析報(bào)告,感興趣的同學(xué)可以閱讀一下【報(bào)告?zhèn)魉烷T】。在我們的分析過程中,我們發(fā)現(xiàn)攻擊者在提取主機(jī)數(shù)據(jù)和實(shí)現(xiàn)遠(yuǎn)程訪問的過程中加載了下列bot插件:
-Bot_Engine
-remote_desktop_service
-send_report
-security
-vnc_hide_desktop
總結(jié)
毫無疑問,攻擊者肯定會(huì)繼續(xù)尋找新的方法來利用Windows的內(nèi)置功能,以求通過一種不受阻礙的方式來感染目標(biāo)用戶并執(zhí)行惡意payload。在這一攻擊活動(dòng)中,攻擊者使用了一種典型的“Windows”式的方法來欺騙用戶,即便是非常有經(jīng)驗(yàn)的用戶也很有可能會(huì)掉入陷阱。除此之外,這種攻擊技術(shù)使用的是一種非標(biāo)準(zhǔn)的執(zhí)行流,所以攻擊者可以繞過大部分沙箱產(chǎn)品的檢測(cè)。
參考資料
1. https://msdn.microsoft.com/en-us/library/windows/desktop/dd323778(v=vs.85).aspx
2. https://msdn.microsoft.com/en-us/library/windows/desktop/dd323712(v=vs.85).aspx
3. https://msdn.microsoft.com/en-us/library/windows/desktop/dd323781(v=vs.85).aspx
4. https://www.fireeye.com/blog/threat-research/2015/12/latentbot_trace_me.html
5. https://msdn.microsoft.com/en-us/library/windows/desktop/dd323706(v=vs.85).aspx
入侵檢測(cè)指標(biāo)(IOCs)
* 參考來源:proofpoint,F(xiàn)B小編Alpha_h4ck編譯,轉(zhuǎn)載請(qǐng)注明來自FreeBuf.COM