惡意巨集利用桌面捷徑散布後門程式

儘管惡意巨集存在已有數十年歷史,但網路犯罪集團仍不斷持續利用惡意巨集來散布惡意程式,只不過今日的方法更有創意,也更有效率。最近一起歹徒利用惡意巨集的案例採用了一種較為迂迴的作法,該巨集會先搜尋使用者系統上是否有特定的桌面捷徑,然後將捷徑指向其下載的惡意程式。當使用者點選被篡改的桌面捷徑時,就會執行下載的惡意程式。

當惡意程式執行完畢之後,它會將捷徑還原成原本的狀態,並開啟原本對應的應用程式,這樣看起來就神不知鬼不覺。接下來,惡意程式會開始運用其下載的檔案。歹徒並未自行開發工具,而是下載網路上常見的工具,例如各式各樣的 Windows 工具、WinRAR 及 Ammyy Admin 等等來蒐集系統上的資訊並經由 SMTP 傳回給歹徒。

儘管歹徒使用的巨集和所下載的惡意程式並不複雜,但這套運用方法卻相當值得注意,因為看來似乎還會有後續發展。

圖 1:惡意程式感染過程。

惡意文件

歹徒攻擊一開始是使用一個惡意文件,該文件的內容為俄羅斯文,並含有一張房屋的照片。內容會指示使用者啟用巨集功能來檢視完整文件。

圖 2:惡意文件部分內容。

使用者必須自行手動啟用巨集,因為 Microsoft為了防範這類資安風險,已刻意預設停用巨集。正如 Microsoft 的安全提示顯示,當巨集啟用時,使用者電腦很可能會遭惡意巨集感染。

巨集如何修改桌面捷徑

使用者一旦執行了惡意巨集,巨集就會開始搜尋使用者桌面上的特定捷徑,並修改捷徑指向的目標。它主要會搜尋五種捷徑:Skype、Google Chrome、Mozilla Firefox、Opera 以及 Internet Explorer。找到之後,就會根據其名稱和環境從 Google Drive 和 GitHub 下載對應的惡意程式。我們檢查之後發現目前這些惡意程式皆已遭移除,無法再從網路下載。

不過,舉例來說,當惡意巨集發現桌面上有 Google Chrome 的捷徑時,就會執行以下步驟:

  1. 在「%AppData%\Google\」目錄底下產生一個目錄 (如果原先沒有的話)。
  2. 下載惡意檔案「chromeupdate.exe」(趨勢科技命名為:HKTLRADMIN) 至「%AppData%\Google\」目錄。

  3. 若系統尚未安裝 .NET framework,下載網址為:hxxps://raw.githubusercontent.com/microsoftstorage/vsto/master/chrome_update

  4. 若系統上已安裝 .NET framework,則下載網址為: hxxps://raw.githubusercontent.com/microsoftstorage/vsto/master/dotnet/chrome_update

圖 3:巨集會根據不同條件使用不同下載網址。

  1. 找到要更換的桌面捷徑,刪除其原本的連結。
  2. 建立一個新的連結至新下載的檔案:目標 = %AppData%\Google\chrome_update.exe

圖 4:修改之後指向惡意程式的新捷徑。

除此之外,惡意巨集也會修改快速啟動列上的連結,步驟如下:

  1. 搜尋「%AppData%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar」目錄底下與 Google 或 Google Chrome 相關的捷徑。
  2. 將捷徑的目標指向惡意程式。

經過上述步驟之後,當使用者點選桌面或快速啟動列上的捷徑時,就會執行惡意程式 (而非原本的程式)。

惡意程式如何執行惡意服務並掩蓋其痕跡

惡意程式執行之後,會先在「System32」或「SysWoW64」目錄 (視 Windows 版本而定) 當中植入一個名為「WpmPrvSE.exe」的檔案 (趨勢科技命名為:TROJ_DLOADER.COGBA),接著啟動一個名為「WPM Provider Host」的服務。這個服務的內容顯示的資訊為「WPM Provider Host – System-mode WPM Provider Framework Host Process」。

接著,會在「System32」或「SysWoW64」當中植入「rar.exe」檔案並產生系統登錄機碼。最後,惡意程式會將原本被修改的桌面與快速啟動列捷徑還原,藉此掩蓋其感染痕跡。

惡意服務運作方式

當惡意程式還在執行時,惡意程式所啟動的服務已經開始下載最終的惡意檔案。該服務首先會設定 1 小時 (3,600,000 ms) 的間隔,也就是每小時從 Google Drive 或 GitHub 下載一個 RAR 壓縮檔。然後利用先前植入的 WinRAR 工具來開啟壓縮檔,壓縮檔內會有一個安裝程式、一些設定檔以及一些其他用來搭配運用的工具。

圖 6:RAR 壓縮檔內容。

該服務會執行 RAR 壓縮檔內的安裝程式 installer.exe (趨勢科技命名為:HKTL_RADMIN)。Installer.exe 接著利用「certutil」指令列工具 (Windows Certificate Services 的元件) 來解開 Base 64 編碼的內容。certutil 會將壓縮檔內的「wsvchost.key」解碼後變成「wsvchost.exe」檔案。Wsvchost.exe 事實上是「Ammyy Admin 3.5」這個知名的遠端系統管理工具。它會在「C:/ProgramData/Ammyy」目錄底下產生一個子目錄,內含 Ammy Admin 的設定,並將「setting3.bin」檔案放到該目錄中,用來變更 Ammyy Admin 的權限。這些設定可讓某個特定的 Ammyy Admin ID (很可能是惡意程式作者的 ID) 擁有被感染系統的完整存取權限。

圖 7:擁有完整存取權限的 ID。

接著,它會執行指令列腳本「stop_ammmyy.ps1」,將原本系統遭感染前已經在執行的 Ammyy 執行程序終止 (若有的話)。我們無法斷定這個步驟的用意為何,因為我們在分析該惡意程式的先前版本時並未看到此步驟,而且對整個攻擊似乎沒有幫助。

此時,安裝程式也會啟動另一個名為「WSVCHost」的服務,該服務所執行的是 wsvchost.exe 檔案 (Ammyy Admin 3.5),接著再利用「procdump」來產生 WSVCHost 相關執行程序的記憶體內容傾印檔 (dump file)。根據我們所分析的樣本,這樣的執行程序有兩個。

圖 8:WSVCHost 服務。

在前述步驟之後,惡意程式接著會使用 certutil 來對產生的記憶體內容傾印檔進行編碼,並用 WinRAR 壓縮成兩個檔案 (此樣本為 dump1.txt.img 和 dump2.txt.img),並放到其中的一個「藏寶」資料夾 (此樣本為「C:\Windows\System32\send_treasure」)。

圖 10:藏寶資料夾。

這兩個檔案會經由 SMTP 電子郵件通訊協定連同其他系統資訊和執行記錄檔一起當成附件傳回給歹徒。它會經由連接埠 465 連上位於 rambler.ru 和 meta.ru 的郵件伺服器。歹徒之所以同時傳送給兩台郵件伺服器,其用意很可能是為了確保內容能夠成功送達。SMTP 郵件伺服器的帳號密碼也直接寫在程式內部,不過也可以透過下載的壓縮檔內的「mails.ini」檔案來設定。

圖 11:惡意程式經由連接埠 465 對外連線。

傾印檔的內容

當我們查看傾印檔的內容時,我們發現了系統的路由器 IP 位址和 Ammyy Admin ID。我們試著在系統上手動安裝一套 Ammyy Admin,然後從其設定畫面當中查看一下該系統的 ID,我們發現它與傾印檔內的 ID 相符。當歹徒掌握了目標系統的 Ammyy Admin ID,並利用惡意程式讓駭客的 ID 獲得此系統的完整存取權限,駭客就能透過 Ammyy Admin 掌控受感染的系統。

圖 12:路由器 IP 位址和 Ammyy Admin ID。

圖 13:手動安裝的 Ammyy Admin 視窗。

除了使用者系統的 Ammyy Admin ID 之外,傾印檔中的其他內容看來似乎並非立即用到。所以歹徒很可能只是想要蒐集一些額外資訊。我們在分析過程當中也發現,某些下載的檔案目前已有變更或更新,這表示惡意程式作者仍在開發該程式。所以它也許還在概念驗證階段也說不定,因此將來很可能再出現新的版本。

解決與防範之道

從它利用巨集來安裝就能看出此惡意程式的行為異於尋常,而且似乎仍在發展。我們相信,此惡意程式並未廣泛流傳,而且目前也只有少數受害者。不過,惡意程式本身及其攻擊方式都值得我們注意,因為後續很可能會出現更新、更強的版本。

Microsoft 之所以預設停用巨集功能,就是因為知道這類內嵌於檔案當中的程式碼很可能被惡意程式所利用。因此,使用者若能熟悉系統的巨集設定,將有助於防範這類攻擊並安全地使用巨集,不過,使用者最好還是避免從不明來源下載一些必須啟用巨集才能開啟的檔案。

除此之外,趨勢科技的端點防護產品也能提供一道額外的防禦,例如:趨勢科技 趨勢科技Smart Protection SuitesWorry-Free Pro都能防範類似的威脅來保護一般使用者和企業,這些產品可偵測相關的惡意檔案與垃圾訊息,並且攔截所有相關惡意網址。此外還有趨勢科技進階網路安全防護 可提供一道額外的電子郵件檢查,幫助企業偵測惡意的附件和網址。

趨勢科技趨勢科技的Hosted Email Security  是一套不需您維護的雲端方案,提供持續更新的防護,幫您攔截垃圾郵件、惡意程式、魚叉式網路釣魚、勒索病毒以及進階針對性攻擊,不讓威脅到達您的網路。它能保護 Microsoft Exchange、Microsoft Office 365、Google Apps 以及其他代管式或企業內電子郵件產品。

搭載 XGen™ 防護端點防護的趨勢科技趨勢科技OfficeScan 結合了高準度的機器學習與其他偵測技術和全球威脅情報,提供完整的進階惡意程式防護。

入侵指標 (IoC):

SHA256 雜湊碼 | 趨勢科技命名
---|---
0181A985897F1FA66EDE98CC04E97B05387743DE198C2DCF4667FA4FDE7779C1 | HKTLRADMIN
20B05A17623A7E74F7CFE4296BA79CFF8CA6B3EA64F404661B7BC46AB603511C | HKTL
RADMIN
2864B1B7417AACC13A4277D8CB9C94B5A04420F6CCC1CC4DFD3BE4D369406383 | HKTLRADMIN
2B3CD4D85B2B1F22D88DB07352FB9E93405F395E7D0CFE96490EA2BC03A8C5FF | HKTL
RADMIN
3B85E737965020D82CDC0890F1243732B71977117CDF310554E9DD91B78BFE63 | HKTLRADMIN
451C4C3FBF5AEC103833FA98D942B1876D9CE84575A00757562489921BC1D396 | HKTL
RADMIN
45B2580DB6D13720014753813EB69C1AA0EFFBD100BB80E5A07D75447489BA0F | HKTLRADMIN
7730A98FD698F1043184992F1CA349EA1BDFD33D43A0ECE2CD88F9F6DA2E37D1 | HKTL
RADMIN
804D883661BA51CEC97135F9F33C1FA9084384783D59A4F55D496E2901C20289 | TROJDLOADER.COGBA
96A4F844D7102D0EE757CAA1719F1CD95D1386E61EB7C694020D6CF14B546880 | HKTL
RADMIN
9EAC92BEC146CE9CEF096105F6531F2EE4C2E1A14507F069728A1022ECDCDEDD | HKTLRADMIN
A4B25E5E72FC552E30391D7CD8182AF023DC1084641D93B7FA6F348E89B29492 | HKTL
RADMIN
A9FC2B6F8BC339742268BAC6C02843011EBB670114A786A71FF0FA65397AC9C6 | HKTLRADMIN
C57BF08C414900B5B4AD907272A606D6695C14DC2ACC0264ECA53840EEE3F3F4 | HKTL
RADMIN
C9B7C2189D3CEA05A666C45043812D832BED60CFCB8A97222BCA9AFC53B3D229 | HKTLRADMIN
CC60DAE1199C72543DD761C921397F6E457FF0440DA5B4451503BFCA9FB0C730 | HKTL
RADMIN
d904495737dfe33599c0c408855f6d0dd9539be4b989eb5ab910eb6ab076d9ef | W2KM_DLOADER.FODAM

第一階段連結

hxxps://drive[.]google[.]com/uc?authuser=0&id=1eoZvAJNwYmj97bWhzVLUVIt0lAqWKssD&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1f84hF8spepIVwTMAQU0nYs-6o9ZI3yjo&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1G7pfj4X3R4t8wqNyCoE2pMYFo-TIkI9&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1GofUo
21wAidnNek5wIqTEH65c5B4mYl&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1NfIqI9SJedlNn02Vww8rd5F73MfLlKsJ&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1NgMUcD8FzNTEi45sNc6Cp-VG-EnKuL-&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1NStRbzXtC4Vwv2qZ0CjrJYbk5ENFmQv
&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1tBu1-SVAdWQccETbAxAhBR3CLIrjkOU&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1TjywdxSZfENUorSHyjVDprOsT8Sq1
SW&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1Xhx22-OVqg-ZcpwU6bVBdP9lWZfzyFzB&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1yC0rtWErmwTTyLO3VuP33pgLkfzy0xik&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1YqlYbFUObMjRBvNFfjwkdSJTpxU-rMVy&export=download
hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/chromeupdate
hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/chrome
update
hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/firefoxupdate
hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/iexplorer
update
hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/operaupdate
hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/updater
hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/firefox
update
hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/iexplorerupdate
hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/opera
update
hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/updater
第二階段連結
hxxps://drive[.]google[.]com/uc?authuser=0&id=1lcw-cN9o3NkR6zkeHrDHg-WiUhHBi1wK&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1OhTA1K04zKFaKw7omXJbmN8_S2VmIcdD&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1okynNTx2kEvx1gBQsmmB3OuS0wQ3A3uE&export=download
hxxps://drive[.]google[.]com/uc?authuser=0&id=1ZFcguS1z4bSCpnMibYZZ8KHdFtN6hscM&export=download
hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/winhost[.]img
hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/winhost[.]ver
hxxps://raw[.]githubusercontent[.]com/modernconceptplanet/vsto/master/winhost[.]img
hxxps://raw[.]githubusercontent[.]com/modernconceptplanet/vsto/master/winhost[.]ver

原文出處:Malicious Macro Hijacks Desktop Shortcuts to Deliver Backdoor 作者 * _:Loseway Lu_*