趨勢科技最近發現 ROVNIX 惡意軟體家族能夠透過巨集下載器來散播。這種惡意伎倆之前在DRIDEX惡意軟體上見到,它以使用相同招數著稱。DRIDEX同時也是CRIDEX銀行惡意軟體的後繼者。
雖然感染方式相當古老,網路犯罪分子了解使用惡意巨集也能夠達到想要的目的 – 甚至可以對抗複雜的防禦措施。
ROVNIX惡意軟體行為
根據趨勢科技的分析,ROVNIX會將 rootkit 驅動程式寫入 NTFS 磁碟機未分割的空間。這可以有效地隱藏該驅動程式,因為這個未分割空間不會被作業系統和安全產品所看到。
為了載入惡意驅動程式,ROVNIX會修改IPL的內容。這程式碼被修改以讓惡意rootkit驅動程式在作業系統前被載入。這做法主要有兩個目的:逃避偵測,並且在Windows 7及之後的版本載入未簽章過的驅動程式。
ROXNIX感染鏈
在此攻擊中,惡意文件包含一個社交工程誘餌,特製成來自微軟Office的假通知來指示使用者啟用巨集設定。
圖1、帶有惡意巨集文件的螢幕截圖
啟用巨集會去執行惡意巨集程式碼,被偵測為W97M_DLOADER.AI。這個惡意巨集和之前CRIDEX所用的不同之處在於ROXNIX有加上密碼保護。這讓分析此惡意軟體變得困難,因為沒有密碼或特殊工具就無法檢視或打開巨集。
圖2、惡意巨集ROVNIX需要密碼
圖3、該腳本的程式碼片段
這個惡意軟體腳本使用簡單的字串拼接和多個變數替換,企圖混淆程式碼以躲避防毒偵測。當巨集被執行,會植入三個不同類型的隱藏腳本,包括一個Windows PowerShell腳本。這策略意味著網路犯罪分子會去針對Windows 7,開始預設安裝了Windows PowerShell。
圖4、W97M_DLOADER.AI植入的檔案
名為adobeacd-update.bat的腳本會執行adobeacd-update.vbs(VBS_POWRUN.KG),提升使用者權限,然後再執行另一個名為adobeacd-update.ps1(TROJ_POWDLOD.GN)的腳本。TROJ_POWDLOD.GN接著會從http//185[.]14[.]31[.]9/work.exe下載並執行TROJ_ROVNIX.NGT,這是一個ROVNIX載入器。
根據趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料,德國出現了最多使用者有著受感染系統。
表1、2014年11月6日到2014年11月18日最受影響的國家
結論
ROVNIX對使用者和企業都會造成危險,因為除了其後門能力外,它還可以竊取密碼和記錄按鍵資訊。這種攻擊可能被用在資料入侵外洩上,因為資料竊取是其主要行為。此外,這攻擊突顯出有更多惡意軟體可能會去利用巨集文件來濫用PowerShell以散播其惡意程式。不過要注意的是,在此次攻擊中,PowerShell功能並未被濫用。
使用者可以輕易地將其巨集設定設到最大安全性以保護其系統。如果檢視文件需要用到這功能,請確保檔案來自可信任的來源。趨勢科技透過主動式雲端截毒技術來偵測惡意檔案以保護使用者免受此威脅。
相關雜湊值如下:
- 92C090AA5487E188E0AB722A41CBA4D2974C889D
- 4C5C0B3DCCBFBDC1640B2678A3333E8C9EF239C5
@原文出處:ROVNIX Infects Systems with Password-Protected Macros作者:Joie Salvio(趨勢科技威脅回應工程師)