Necurs殭屍網路利用Web查詢檔案IQY檔躲避偵測

我們的上一份Necurs殭屍網路報告提到它會利用網址捷徑或.URL檔來躲避偵測,而現在病毒作者還在加以更新。趨勢科技的最新發現顯示開發者在積極地設計新方法來躲避安全措施。這一次,新一波的垃圾郵件利用Web查詢檔案IQY來躲避偵測。

這些年來,Necurs出現在各個網路攻擊報告中,包括在2017年的一起攻擊事件中用來散播Locky勒索病毒。而它現在使用IQY檔做為感染載體讓其更加值得注意。IQY檔案是種特定格式的文字檔。作用是讓使用者從外部來源的導入資料到Excel試算表。在預設情況下,Windows會將IQY檔識別為MS Excel的Web查詢檔案並自動在Excel中執行。

IQY檔案的作用

新一波的垃圾郵件夾帶著IQY附件檔。主旨和附件檔包含了促銷、優惠和折扣等字眼,應該是為了要偽裝成在Excel內打開的資料類型。

圖1、夾帶IQY附件檔的郵件樣本

 

一旦使用者執行了IQY檔案,它會查詢裡面所指示的網址,這Web查詢檔案會將資料(範例內的2.dat)從目標網址提取到Excel工作表中。

圖2、IQY檔程式碼片段

 

檢查所提取的資料會發現它包含了一個腳本,這腳本會利用Excel的動態資料交換(DDE)功能,執行命令列來啟動一個PowerShell程序。這程序會直接執行遠端的PowerShell腳本(範例中的1.dat)。

圖3、取回資料的程式碼片段

圖4、PowerShell腳本的程式碼片段

 

PowerShell腳本會下載可執行檔、木馬化遠端連線工具及其最終目的:後門程式FlawedAMMYY(被偵測為BKDR_FlawedAMMYY.A)。這後門程式似乎是利用被稱為Ammyy Admin的遠端管理軟體所流出的程式碼所開發。

 

在最新一波的垃圾郵件中,腳本會先下載一個圖片檔。這其實是偽裝過的下載病毒(被偵測為BKDR_FlawedAMMYY.DLOADR),它會下載一個加密過的元件(被偵測為BKDR_FlawedAMMYY.B),裡面包含相同的主要後門程式。

圖5、從附件IQY檔開始的感染鏈

 

後門程式FlawedAMMYY會執行以下從遠端惡意伺服器來的命令。

  • 檔案管理
  • 檢視螢幕
  • 遠端遙控
  • 音訊聊天
  • RDP SessionsService – 安裝/啟動/停止/刪除停用桌面背景
  • 停用桌面合成(desktop composition)
  • 停用視覺效果
  • 顯示工具提示 – 造成滑鼠游標閃爍

 

Necurs的這層新躲避技術也帶來了新挑戰,因為Web查詢通常以明文的形式出現,所以IQY檔內的網址成為惡意軟體活動的唯一指標。而且它的結構也跟普通的Web查詢相同。因此,封鎖惡意網址的安全解決方案可以用來對抗這種威脅。

 

解決方案和緩解措施

要對抗Necurs及其他透過垃圾郵件散播的威脅,採用嚴格的安全協定及最佳實作仍然可以有效地防禦這些威脅。在這次的情況裡,使用者要下載並執行非常見附件檔時都要特別小心。Microsoft已經意識到這種感染載體會去利用DDE功能。所以它在執行IQY附件檔時會跳出兩個明確的警告視窗,讓使用者有機會再重新考慮是否繼續開啟。

圖6、第一次跳出警告視窗

圖7、第二次跳出警告視窗

 

Necurs攻擊活動顯示出殭屍網路會開發新技術來躲避未經修補或過時的安全解決方案。為了防止像Necurs這樣會進化的垃圾郵件威脅,企業可以使用趨勢科技 Smart Protection SuitesWorry-Free Pro等趨勢科技端點解決方案。這兩種解決方案都會偵測惡意檔案和垃圾郵件並且封鎖所有相關惡意網址來保護使用者和企業。趨勢科技”進階網路安全防護 也會檢測電子郵件來提供企業防護,去偵測惡意附件檔和網址。即使遠端腳本沒有實際下載到端點,Deep Discovery也可以檢測該遠端腳本。

趨勢科技的Hosted Email Security是一種無需維護的雲端解決方案,可持續地更新防護,在垃圾郵件、惡意軟體、魚叉式釣魚郵件、勒索病毒和進階針對性攻擊進入企業網路前先加以封鎖。它可以保護Microsoft Exchange、Microsoft Office 365、Google Apps及其他代管或本地端的電子郵件解決方案。趨勢科技的電子郵件信譽評比服務可以在惡意郵件抵達時加以偵測。

XGen™ 防護端點防護技術所驅動的趨勢科技OfficeScan結合高保真機器學習與其他偵測技術以及全球威脅情報,能夠全面性地防禦進階惡意軟體。

 

入侵指標

 

SHA-256 偵測名稱
30e2f8e905e4596946e651627c450e3cc574fdf58ea6e41cdad1f06190a05216 TROJ_CVE20143524.A
0bd5f1573a60d55c857da78affa85f8af38d62e13e75ebdd15a402992da14b0b TROJ_MALIQY.A
602a7a3c6a49708a336d4c9bf63c1bd3f94e885ef7784be62e866462fe36b942 TROJ_FlawedAMMYY.A
7c641ae9bfacad1e4d1d0feef3ec9e97c55c6bd66812f5d9cf2a47ba40a16dd4 TROJ_FlawedAMMYY.A
7f9cedd1b67cd61ba68d3536ee67efc1140bdf790b02da7aab4e5657bf48bb6f BKDR_FlawedAMMYY.DLOADR
a560c53982dd7f27b2954688256734ae6ca305cc92c3d6e82ac34ee53e88e4d3 BKDR_FlawedAMMY.ENC
ba8ed406005064fdffc3e00a233ae1e1fb315ffdc70996f6f983127a7f484e99 BKDR_FlawedAMMYY.B
ca0da220f7691059b3174b2de14bd41ddb96bf3f02a2824b2b8c103215c7403c BKDR_FlawedAMMYY.A
d9cd31184c56931ae35b26cf5fa46bf2de0bdb9f88e5e84999d2c289cbaf1507 TROJ_POWLOAD.IQY

 

@原文出處:Necurs Poses a New Challenge Using Internet Query File 作者:Jed Valderama,Ian Kenefick和Miguel Ang