趨勢科技 惡意的SettingContent-ms檔案嵌入PDF 檔中,目的是為了執行遠端存取的木馬程式FlawedAmmyy, 這個遠端存取木馬(RAT) 也被使用在Necurs殭屍網路上. 而攻擊行動主要鎖定的目標是歐洲和亞洲的銀行。
SettingContent-ms最近才加入微軟軟體中,最早是在Windows 10中引入。以XML格式/語言寫入此類型檔案中,通常這類型檔案會包含Windows功能的設定內容,例如更新流程以及開啟某些特定類型檔案的應用程式等。這些檔案最常被用來當成開啟舊版Winodws控制台的捷徑。
圖1.SettingContent-ms的副檔名以及icon
圖2.Figure 2. 正常 SettingContent檔案中的 DeepLink tag
除了垃圾郵件活動之外,還有一些關於微軟SettingContent-ms的概念驗證(POC)研究 ,在七月份由Specter Ops所發佈。由此份研究報告以及實際出現的攻擊行動顯示出只要將DeepLink tag下的指令替換成惡意指令碼,便可利用SettingContent-ms執行惡意程式。一開始當微軟從研究人員聽到這個問題時,他們並不認為這是作業系統的弱點。但是在2018年8月,他們公布了修正程式以修補這個問題: CVE-2018-8414
圖 3. DeepLink tag 下的惡意指令碼
如圖3所示,是一個SettingContent-ms被濫用的範例,在DeepLink tag下的惡意指令碼可以執行PowerShell script並從惡意網站下載並執行惡意程式。
在進一步研究這些方法時,我們開始看到該技術的局限性。 單獨使用DeepLink似乎有一些缺點:
優點
缺點
容易佈署 最多只接受517個字元
侷限在一些命令執行技術,例如: Command Prompt,PowerShell,MSHTA,Certutil,Bitsadmin, WMI
藉由這些觀察,進一步的研究發現可以利用SettingContent-ms發展其他技術。稍早之前,研究人員已經研究如何利用Icon Tag 應用在惡意的攻擊活動。為了驗證這個技術是否可行,我們建立了一個SettingContent PoC,這包含了DeepLink以及Icon tag,用來裝載惡意程式碼。
DeepLink + Icon-based 的惡意程式碼—如何運作?
在這個情境中,DeepLink tag只能包含一個指令,並且可以呼叫寫在Icon tag下的惡意程式碼。在我們的PoC研究中,我們將Icon tag下的Script做了非常深度的程式碼混淆,如同圖4所示。
圖 4. DeepLink 呼叫了 Icon tag
圖 5. 寫在Icon tag下的惡意PowerShell script (移除程式碼混淆)
我們做了這個測試目的是為了確認Icon-based這類較長以及複雜的惡意程式碼是否會執行,結果這類惡意程式碼的確可以被執行。在這個Poc中寫入在Icon tag下的PowerShell script是來自於TROJ_PSINJECT.A ,這個惡意程式會下載ANDROM/GAMARUE。
即便做了這樣的操作,無論在Icon tag下被寫入什麼,Icon顯示仍為空白(如圖 1所示)。
假設這樣的技術可能成為未來潛在的威脅,仍有其優缺點:
優點
容易佈署
Icon tag可以寫入的字元數不受限制
不限於簡單的命令執行;可以佈署各種個Script例如ReflectivePEInjection, backdoors,等等。
缺點
解決方案以及緩解方式
這個技術顯示出網路犯罪可能擁有很多的工具,用來協助他們佈署複雜又有效的惡意程式碼。上述的情境,由一個SettingContent-ms中DeepLink tag下的惡意指令開始,進而我們發現了可以透過Icon tag佈署更複雜以及更長的惡意程式碼。
除了SettingContent-ms之外,可能還有其他更多的正常檔案被濫用。因此我們必須持續針對不同的應用程式進行研究,比惡意程式作者以及新的威脅更早一步發現可能的風險。
為了防護濫用SettingContent-ms的類似威脅,可以利用具備行為分析能力的解決方案,透過行為監控可以發掘並阻擋惡意的指令,以避免惡意程式在受害者的電腦上被執行。
趨勢科技趨勢科技OfficeScan XGen™ 防護 端點防護使用高準度機器學習(Machine learning,ML) 以及其他的偵測技術搭配全球威脅情資可以提供全面的安全防護,對抗進階的惡意程式。我們也持續監控SettingContent-ms類型檔案是否出現新的惡意指令。
◎原文來源: SettingContent-ms can be Abused to Drop Complex DeepLink and Icon-based Payload 作者:Michael Villanueva
微軟SettingContent-ms最近成為備受關注的話題。
