快捷搜索:    田亮  八折  潘越  出现  大满贯  最帅  福建

黑客行使IE 0 day破绽部署VBA恶意软件

手机新2管理端

www.9cx.net)实时更新发布最新最快最有效的手机新2管理端网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

,

7月21日,研究职员发现一个名为“Манифест.docx” (“Manifest.docx”)的可疑文档,该文档可以下载和执行2个模块:一个是启用了宏的,一个是含有IE 破绽行使的HTML工具。

这两个模块都依赖模板注入来释放全特征的远程接见木马,攻击者可能想要融合社会工程手艺和已知的破绽行使来最大化熏染目的的可能性。

远程模板

研究职员剖析settings.xml.rels中嵌入的远程模板发现其中含有完全特征的VBA 远程接见木马,可以执行以下功效:

◼网络受害者信息;

◼识别受害者机械上运行的反病毒软件;

◼执行shell-code;

◼删除文件;

◼上传和下载文件;

◼读取硬盘和文件系统信息。

第二个模板嵌入在Document.xml.rels文件中,会加载在文件中。研究职员剖析加载的代码发现其中包罗一个IE CVE-2021-26411破绽行使,该破绽行使曾被Lazarus APT组织用于攻击平安研究职员。破绽行使中执行的shellcode也部署了远程模板注入加载的VBA RAT。

加载了远程模板后,恶意文件会加载一个俄语的诱饵文件。


图 1: 诱饵文件

文档剖析

恶意文件(“Манифест.docx”)中含有settings.xml.rels 和document.xml.rels中的2个模板。位于settings.xml.rels的远程模板会下载一个宏武器化的模板,并加载到当前的文件中。远程模板中包罗有具备完全RAT功效的宏代码:


第二个模板嵌入在document.xml.rels中,也会加载在主文档的工具中。该模板中含有CVE-2021-26411的破绽行使代码。


图 2: Document.xml.rels

远程模板使用的破绽行使代码与ENKI平安公司之前讲述的类似。


图 3: 破绽行使代码

该破绽行使执行的shell-code会部署settings.xml.rels中嵌入的远程模板加载的VBA RAT。攻击者还会实验使用两种方式来部署VBA RAT。

Shellcode异常简朴,可以执行以下操作。Shellcode是用AutoHotKey剧本语言编写的,所有的行为都是用SendInput API挪用来执行的。

将VBA RAT添加到TrustedRecords注册表中作为可信文档。通过将该RAT加入到注册表中,就可以在下次打开时启用宏文件。


可以使用以下下令来获取VBA RAT:


通过确立准时义务来每分钟执行以实现VBA RAT驻留:


删除RunMru注册表值来清晰追踪纪录:


VBA Rat(远程模板)剖析

远程模板中有Document_Open和Document_Close,会在文件打开和关闭时被激活。

Document_Open:

Document_open 函数会检查激活的文件是否有docx扩展,若是是docx扩展就会显示隐藏的诱饵文件。若是激活的文件名为_.dotm,示意该机械已经熏染了该RAT,就挪用ConnectCP 函数。ConnectCP 函数通过挪用下面的函数来网络受害者的信息,在网络数据后,会使用JsonConvertor函数将这些数据转化为json花样。网络的数据之后会使用SCI函数来发送到服务器,并从服务器吸收下令。

◼getUUID: 执行"SELECT * FROM Win32_ComputerSystemProduct"来获取UUID

◼getOS: 执行"SELECT * FROM Win32_OperatingSystem"来获取操作系统类型

◼arch: 返回操作系统架构

◼getCPU: 执行"SELECT * FROM Win32_Processor"来获取CPU信息

◼getGPU: 执行"SELECT * FROM Win32_VideoController"来获取GPU信息

◼getRAM: 执行"SELECT * FROM Win32_PhysicalMemory"来获取物理内容容量

◼getStorage: 执行"Select * from Win32_LogicalDisk Where DriveType = 3"来获取可用硬盘空间

◼getName: 获取盘算机名、用户名和域名

◼getRole: 识别受害者是否治理员


图 4: GetRole

◼getAV: 执行"Select * from AntiVirusProduct"来获取激活的反病毒产物,然后挪用DisplayName来获取反病毒产物名,然后用产物状态码来识别反病毒产物的状态和信息

2022世界杯预选赛赛程规则www.9cx.net)实时更新比分2022世界杯预选赛赛程规则数据,2022世界杯预选赛赛程规则全程高清免费不卡顿,100%原生直播,2022世界杯预选赛赛程规则这里都有。给你一个完美的观赛体验。


图 5: GetAV

Document_Close

Document_Close函数会挪用函数InstallFromMacro来举行RAT的安装。在挪用安装函数前,会挪用相同的沙箱函数来确保没有在沙箱环境中运行,然后会检查附件中是否包罗http来确保其中有嵌入的远程模板URL。

InstallFromMacro会执行RAT的初始化,其中包罗3个动作:

◼以文件形式打开附件远程模板,提取BuiltInDocumentProperties的comments部门内容,并用|来举行支解。若是操作系统是32位的,就将comments的第一部门放入skd变量,若是操作系统是64位的,就将comments的第二部门放入skd。Skd变量之后会用作AddTask 函数的参数。

◼将customDocumentProperties从cve设置为“MACRO”;

◼通过将自己加入到启动目录来实现驻留:APPDATAMicrosoftWordStartUp_.dotm;

◼挪用AddTask函数;

◼通过删除RunMRU注册表来祛除其追踪纪录。


图 7: RAT安装

AddTask(使用EnumWindows来执行shell code)

该函数会base64解码skd变量中的内容,并用VirtualProtect和EnumWindows执行。事实上,skd的内容是一个shellcode,会在不写入硬盘的情形下在内存中执行。EnumWindows的第二个参数是一个应用界说的值,会转达给callback函数。将VirtualProtect的shellcode地址作为函数的第二个参数就可以执行shellcode。


图 8: AddTask

执行的shellcode异常少,可以通过设置准时义务每分钟执行来实现驻留:


与IE破绽行使中的shellcode类似,该shellcode也是用AutoHotKey剧本语言写的,并使用SendmessageA 和SendInput来模拟按键和执行其他动作。


图 9: Shell-code API和函数挪用剖析

ExecuteTasks

这是VBA的主要函数,会从服务器吸收json花样的下令,然后剖析json文件和执行下令。每次函数会执行3个义务。


图 10: 执行义务

为了从服务器吸收义务,该函数会吸收一个名为SCI的函数的参数。SCI函数会以json花样和HTTP POST请求的形式发送ConnectCP函数网络的数据,或从服务器吸收响应,其中包罗json花样的要执行的义务。


图 11: 发送信息到服务器和吸收下令

下面是RAT可以执行的下令。在执行义务后,义务执行的效果也会发送给服务器。

ReadDisks

该下令使用Scripting.FileSystemObject.Drives工具来获取硬盘信息。然后确立一个JSON工具,其中包罗如下信息:

 

图 12: Read Disks

ReadFileSystem

该函数会使用Scripting.FileSystemObject.GetFolder 工具来获取与指定路径文件夹对应的文件夹工具,然后提取名字、巨细、最后修他日期,并将这些信息放入一个json工具中。

Download File

该函数会使用Adobe.Recordset来读取指定文件,并使用HTTP POST请求发送数据到服务器。


图 13: 下载文件

Upload File

该模块会从服务器吸收一个文件,并将其写入指定文件中。


图 14: Upload File

DeleteFile

该函数会使用kill函数来删除指定文件或目录。

Terminate

该函数会中止RAT的执行并退出应用。

Execute

该函数会执行从服务器吸收到的shellcode。


图 15:执行Shell-code

本文翻译自:https://blog.malwarebytes.com/threat-intelligence/2021/07/crimea-manifesto-deploys-vba-rat-using-double-attack-vectors/
发表评论
诚信在线声明:该文看法仅代表作者自己,与本平台无关。请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片

您可能还会对下面的文章感兴趣: