歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

使用AutoHotkey和Excel中嵌入的惡意腳本來繞過檢測

來源:本站整理 作者:佚名 時間:2019-04-22 TAG: 我要投稿

Trend Micro研究人員發現一個使用合法腳本引擎AutoHotkey和惡意腳本文件的攻擊活動。該文件以郵件附件的形式傳播,并偽裝成合法文件Military Financing.xlsm。用戶需要啟用宏來完全打開文件,使用AutoHotkey來加載惡意腳本文件以繞過檢測。然后惡意軟件會竊取特定的信息,甚至下載TeamViewer來獲取對系統的遠程訪問權限。
如果用戶啟用宏來打開xlsm文件,就會合法的腳本引擎AutoHotkey和惡意腳本文件。一旦AutoHotkey加載惡意腳本文件,惡意軟件就會連接到C2服務器來下載和執行其他腳本文件來響應來自服務器的命令。研究人員發現惡意軟件最后會下載和執行TeamViewer來獲取系統的遠程訪問權限。會根據來自C2服務器的命令來下載和執行其他腳本文件。

圖1. 攻擊鏈
Excel文件
附件excel文件題目為Foreign Military Financing (FMF),是以美國國防安全合作署的一個項目命名的。封面的內容是為了讓用戶啟用內容以訪問機密信息。

圖2. Excel文件的內容
看起來該excel文件只有一個填充的sheet表。但如圖2所示,其中有一個名為“ ”(空格)的sheet表。

圖3. 隱藏的第二個sheet中的十六進制字符串
一旦用戶啟用宏,就會通過十六進制字符串釋放2個文件。這些十六進制字符串是用白色字體寫的,所以看起來好像這些列是空白的。釋放的文件包括:
· X列的內容:C:\ProgramData\AutoHotkeyU32.exe (合法的AutoHotkey可執行文件)
· Y列的內容:C:\ProgramData\AutoHotkeyU32.ahk (攻擊者創建的用于AutoHotkey的惡意腳本)
惡意字符串和AutoHotkey濫用
根據腳本文件,AutoHotkey會分配一個hotkey或執行腳本文件中的任意進程。在本例中,腳本文件AutoHotkeyU32.ahk并沒有分配熱鍵,而是會執行以下命令:
· 在開始菜單中為AutoHotkeyU32.exe創建一個鏈接文件,允許攻擊在系統重啟后繼續進行;
· 每10秒鐘連接到C2服務器來下載、保存和執行含有命令的腳本文件;
· 發送C盤的卷序號,攻擊者以此來識別受害者。
 

圖4. AutoHotkeyu32.ahk部分代碼

圖5. 樣本C2響應
當攻擊者通過C2發送與圖5類似的響應時,腳本文件會將十六進制字符串轉變為明文,翻譯為URL“001::hxxp://185.70.186.145/7773/plug/hscreen.ahk”。然后從該URL下載ahk文件(hscreen.ahk),以隨機文件名保存在%temp%文件夾中,最后通過AutoHotkeyU32.exe加載并執行。
研究人員進一步分析發現了攻擊中其他釋放的文件。這些文件允許攻擊者獲取計算機名并進行截圖。其中一個文件可以下載TeamViewer,攻擊者可以利用該軟件來遠程控制系統。
研究人員還沒有弄清楚攻擊者的真實意圖。但研究人員從其網絡監控能力、傳播勒索軟件和加密貨幣挖礦機的潛在能力,推測認為這是一起有目標的攻擊活動。
總結
在大多數攻擊活動中,用戶可以采用多層防御措施和緩解協議來檢測和應對入侵活動。用戶可以通過增強設置,尤其是對含有宏的惡意軟件附件進行檢查,因為這類攻擊都是從未知來源來下載文件、然后啟用宏。
 

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视