基于SYLK文件傳播Orcus遠控木馬樣本的示例分析

這篇文章給大家介紹基于SYLK文件傳播Orcus遠控木馬樣本的示例分析，內(nèi)容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

望江ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)建站的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：13518219792（備注：SSL證書合作）期待與您的合作！

0x01 背景

近日，反病毒實驗室發(fā)現(xiàn)一例利用符號鏈接文件(SYLK文件)傳播遠控Orcus遠控木馬的攻擊樣本，黑客使用SYLK文件做為初始攻擊載體，在SYLK文檔中使用DDE加載powershell進而加載Orcus遠控木馬執(zhí)行。對大多數(shù)用戶來說，SYLK文件都很陌生，SYLK文件為微軟的一種數(shù)據(jù)文件，默認由Excel程序加載，使用SYLK文件做為初始攻擊載體在很大程度上可以躲避安全軟件的查殺，至本文發(fā)稿，該樣本仍未被騰訊電腦管家之外的各大安全廠商查殺。

黑客利用該樣本的典型的攻擊場景為：將免殺的SYLK惡意文檔做為附件對目標用戶進行釣魚攻擊，誘導用戶執(zhí)行進而控制用戶的計算機系統(tǒng)；利用水坑攻擊，將SYLK惡意文檔替換用戶信任站點的下載鏈接，等待用戶主動下載執(zhí)行。

整個樣本的攻擊流程過程如下所示。

   

在這起攻擊事件中，有兩點值的關注：

1.      大多數(shù)的安全廠商在自己殺毒引擎中都有對doc、xls等常見文檔的格式解析功能，但對于不常見的文檔結構類型(如本例中的SYLK文檔結構)重視不夠，沒有實現(xiàn)對這類文檔的解析功能模塊，因此導致這類文檔中的惡意代碼無法殺毒引擎正確識別查殺。

2.      從樣本編譯時間戳來看，loader樣本于2018年3月22日完成，Orcus遠控木馬樣本于2018年3月24日生成，該樣本時間較新，黑客們最近已經(jīng)嘗試出這類的免殺手段，以后使用該手段的惡意樣本的可能會出現(xiàn)一定程度的增長。

因此，本文將對該類樣本進行詳細分析，供安全社區(qū)共享，共同提高安全能力，保護個人、企業(yè)、機關等用戶的計算機安全。

0x02 樣本分析

2.1 SYLK文件

原始樣本文件名為K*****.slk，.slk后綴名為SYLK文件后綴。符號鏈接(SYLK)是Microsoft的一種文件格式，通常用于在應用程序(特別是電子表格)之間交換數(shù)據(jù)。SYLK文件的后綴名為.slk。該格式的文件由可顯示的ANSI字符組成，即使創(chuàng)建SYLK文件的應用程序支持UNICODE,SYLK 文件在系統(tǒng)中也會以ANSI編碼。    

使用010edit打開文件后顯示如下：

   

第一行的ID;PWXL;N;E申明了文檔格式，P開頭的行表示了不同的樣式，在安裝office的情況下，SYLK文件默認由EXCEL程序打開。

默認打開時，EXCEL會彈出下面的安全提示，如果用戶此時點擊禁用，還可免受攻擊威脅。

   

當用戶點擊了啟用后，OFFICE軟件會提示”遠程數(shù)據(jù)不可訪問”對話框，同時給出了只有信任該數(shù)據(jù)時再點擊是按鈕，防止合法應用程序被病毒惡意利用。

   

再次點擊是按鈕后，惡意的powershell就會得以執(zhí)行，此后，再無需用戶的交互，機器就已經(jīng)被黑客完全控制。

運行時的進程樹如下：

   

觀察原始的SYLK文件，可以在153行的內(nèi)容看到惡意代碼：

   

153行代碼的含義為在單元格中使用公式加載DDE，使用“\..\..\..\Windows\System32\cmd.exe”加載powershell執(zhí)行。執(zhí)行的命令為：

對下載回來的Formules.exe進行分析

2.2 Formules.exe分析

Formules.exe充當了混淆殼的功能。Formules.exe使用.NET編寫，在DNSpy中顯示代碼經(jīng)過混淆，混淆的效果如下：

   

Formules.exe資源中保存著114張圖片，F(xiàn)ormules.exe最終會從這些圖片中解碼出PE數(shù)據(jù)。資源截圖如下：

   

Formules.exe將自身代碼在內(nèi)存中解碼出來后，dump出來后可以看到還原后的代碼。從還原后的代碼可以看到，在Main函數(shù)中調(diào)用Resources解碼資源后，調(diào)用Form1執(zhí)行，在Form1的初始化中直接調(diào)用Form1的close方法，在Form1的close方法中才真正的加載解碼出來的Multi.exe執(zhí)行，Multi.exe本身為一個loaderPe程序，用來加載最終的遠控木馬。

上面描述的過程從代碼層面看，Main函數(shù)調(diào)用Application.Run(new Form1());

   

在Form1的Load方法中調(diào)用了Resources.Class9.smethod_1,而Resources.Class9.smethod_1又會調(diào)用Form1的close方法。

   

在Form1的close方法，使用Invoke調(diào)用解碼出來的Multi.exe(loader程序)的入口點執(zhí)行(此處我Invoke函數(shù)與EntryPoint函數(shù)經(jīng)過人工的重命名)。

   

Form1.smethod_1函數(shù)的功能就是解碼出Multi.exe，代碼截圖如下：

   

2.3 Multi.exe-loader

Multi.exe編譯時間戳為2018年03月22日，該樣本最近才開始構建完成。

Multi.exe的功能就是PELoader, Multi.exe通過AES解碼出加載PE所需的函數(shù)名稱進而得到函數(shù)地址，使用CreateProcess傳遞CREATE_SUSPENDED參數(shù)創(chuàng)建處于掛起狀態(tài)的進程后，GetThreadContext來獲取被掛起進程的CONTEXT，最終使用SetThreadContext來設置線程的上下文，將EIP設置成要加載的PE的入口處，ResumeThread恢復線程執(zhí)行，實現(xiàn)加載PE的功能。

Multi.exe使用AES算法解密出配置字符串：

   

對應的配置信息如下表

選項	值
Install	TRUE
Install.Folder	0x0000000B
Install.Key	Software\Microsoft\Windows\CurrentVersion\RunOnce
Install.ValueName	pitsuvxlikk
Install.FileName	printing.exe
Install.StartupFolder	TRUE
Notify	FALSE
Options.Compress	FALSE
Options.CheckVM	FALSE
Options.CheckSandbox	FALSEs
Options.DelayTime	0x00000019
Options.MonitorPackage	FALSE
Options.MonitorRegistry	FALSE
Options.MonitorSelf	FALSE
Options.HostIndex	0x00000000
Files.Main	Orcus.exe文件的內(nèi)容
Files.Count	0
Options.Melt	FALSE
MeltFileName	Name of the melted file

其中最關鍵的配置項為Files.Main，其表明要在內(nèi)存中加載的PE文件。

Multi.exe加載PE時，獲取函數(shù)地址的代碼如下：

   

向傀儡進程寫入PE文件的代碼

   

此處的Files.Main指定的PE文件為Orcus遠控木馬程序，將Orcus保存出來留做下面分析。

2.4 遠控木馬-Orcus.exe

Orcus.exe文件的編譯時間戳顯示為2018年03月24日，比Multi.exe的編譯時間(2018.03.22)晚兩天。

Orcus為商業(yè)遠控軟件，售價為40美元，該遠控軟件自2016年就開始出現(xiàn)，此后一直持續(xù)的更新維護，官方最新版本為1.9.1，除了遠控木馬的基本功能外，Orcus最大的產(chǎn)品亮點在于，它能夠加載由用戶開發(fā)的自定義插件和攻擊者可以在遠程計算機上實時執(zhí)行C＃和VB.net代碼。

Orcus目前官方的插件庫中包含5個插件，其中包含增加文件體積防止云查殺的功能插件，使用系統(tǒng)關鍵進程保護，進程被殺后強制藍屏的插件等。

對于官方的Orcus遠控軟件，在遠控被控端運行時，會有如下的運行風險提示，官網(wǎng)的Orcus也一在重審，軟件為遠程管理類軟件，并不是遠控木馬。但在騰訊反病毒實驗室檢測到的Orcus做為木馬使用的情況下，都不會出現(xiàn)下面的對話框。

   

遠控軟件的遠程進程管理、文件管理、注冊表管理、服務管理、網(wǎng)絡連接管理等基本功能代碼截圖如下：

   

常規(guī)的遠控木馬功能不再贅述，本文將結合作者理解對該遠控軟件比較特色的功能簡單介紹。

惡作劇功能

軟件集成了惡作劇功能，可以在受害機器上播放蚊子聲音，龍卷風聲音，鬼叫聲等。

   

世界地圖功能

軟件集成了世界地圖功能，可以在地圖上顯示各受害者所在的地理位置。

   

同時，統(tǒng)計功能也以圖表的形式給出指定時間內(nèi)的上線情況統(tǒng)計。

   

遠程源代碼直接執(zhí)行功能

軟件具有遠程源代碼直接執(zhí)行的功能，目前支持支持Visual C#、VB NET、 Batch腳本的直接執(zhí)行。如下圖，將直接在受害機器上執(zhí)行選中的C#代碼。

   

動態(tài)調(diào)試得到遠控木馬的上線地址為：d***r.com:9**0。調(diào)試截圖如下：

   

0x03 總結

DDE技術從開始提出，騰訊反病毒實驗室就一直持續(xù)跟進，先后在freebuf發(fā)布《利用DDE釣魚文檔傳播勒索病毒事件分析》，《Office DDEAUTO技術分析報告》，《無需開啟宏即可滲透：在Office文檔中利用DDE執(zhí)行命令》等多篇文章對該類技術進行分析，此次的攻擊樣本同樣使用DDE技術，但卻與以往的利用方式存在少許差異：以往的DDE技術利用在.doc文檔和.xls文檔中，而此次的DDE技術利用在.slk文檔中。而正是這一簡單的改變就導致了諸多殺軟的集體失聲。

對于上文中提到的攻擊樣本，給出下面的安全建議：

一．    提高用戶網(wǎng)絡安全意識，對上面的樣本，如果用戶能夠在兩次確認的過程中，及時的選擇不允許執(zhí)行，即可以阻斷攻擊過程。，不隨意打開陌生人發(fā)送的文件可以最快的阻斷攻擊。

二．    建議用戶盡快排查自身網(wǎng)絡內(nèi)是否有可疑C&C地址的訪問，一旦發(fā)現(xiàn)有終端主機對上述遠控C&C地址發(fā)起請求連接則極有可能已經(jīng)淪陷。

三．    建議用戶安裝騰訊電腦管家等終端安全產(chǎn)品。保持終端安全產(chǎn)品的及時更新從而達到有效防護。

四．    可以在企業(yè)邊界部署御界高級威脅檢測系統(tǒng)，御界高級威脅檢測系統(tǒng)已經(jīng)能夠?qū)υ撏{進行阻斷與報警。

   

關于基于SYLK文件傳播Orcus遠控木馬樣本的示例分析就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

文章題目：基于SYLK文件傳播Orcus遠控木馬樣本的示例分析
鏈接地址：http://muchs.cn/article4/pdgjie.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設計、營銷型網(wǎng)站建設、定制網(wǎng)站、網(wǎng)站營銷、全網(wǎng)營銷推廣、微信小程序

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)