新巨集病毒會竄改受害電腦的特定桌面捷徑,用以下載後門程式。趨勢科技在一封包含圖片檔的文件中發現這隻巨集病毒,當使用者依照要求執行巨集以開啟整份文件後,該病毒就會尋找 Skype、Google Chrome、Mozilla Firefox、Opera 以及 Internet Explorer 等五種桌面捷徑,加以感染並取代指向的連結。
當惡意程式執行完畢之後,它會將捷徑還原成原本的狀態,並開啟原本對應的應用程式,使其看起來神不知鬼不覺,藉以降低用戶警覺性。接下來,惡意程式會開始運用其下載的檔案。駭客並未自行開發工具,而是下載網路上常見的工具,例如各式各樣的 Windows 工具、WinRAR 及 Ammyy Admin 等等來蒐集系統上的資訊並經由 SMTP 傳回給歹徒。
趨勢科技在分析過程當中也發現,某些下載的檔案目前已有變更或更新,這表示惡意程式作者仍在開發該程式,呼籲電腦用戶當心威力進化的新變種。
PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位 ➔ 即刻免費下載試用
儘管巨集病毒存在已有數十年歷史,但網路犯罪集團仍不斷持續利用惡意巨集來散布惡意程式,只不過今日的方法更有創意,也更有效率。最近一起歹徒利用惡意巨集的案例採用了一種較為迂迴的作法,該巨集會先搜尋使用者系統上是否有特定的桌面捷徑,然後將捷徑指向其下載的惡意程式。當使用者點選被篡改的桌面捷徑時,就會執行下載的惡意程式。
儘管駭客使用的巨集和所下載的惡意程式並不複雜,但這套運用方法卻相當值得注意,因為看來似乎還會有後續發展。
圖 1:惡意程式感染過程。
惡意文件
歹徒攻擊一開始是使用一個惡意文件,該文件的內容為俄羅斯文,並含有一張房屋的照片。內容會指示使用者啟用巨集功能來檢視完整文件。
圖 2:惡意文件部分內容。
使用者必須自行手動啟用巨集,因為 Microsoft為了防範這類資安風險,已刻意預設停用巨集。正如 Microsoft 的安全提示顯示,當巨集啟用時,使用者電腦很可能會遭惡意巨集感染。
巨集如何修改桌面捷徑
使用者一旦執行了惡意巨集,巨集就會開始搜尋使用者桌面上的特定捷徑,並修改捷徑指向的目標。它主要會搜尋五種捷徑:Skype、Google Chrome、Mozilla Firefox、Opera 以及 Internet Explorer。找到之後,就會根據其名稱和環境從 Google Drive 和 GitHub 下載對應的惡意程式。
不過,舉例來說,當惡意巨集發現桌面上有 Google Chrome 的捷徑時,就會執行以下步驟:
- 在「%AppData%\Google\」目錄底下產生一個目錄 (如果原先沒有的話)。
- 下載惡意檔案「chrome_update.exe」(趨勢科技命名為:HKTL_RADMIN) 至「%AppData%\Google\」目錄。
- 若系統尚未安裝 .NET framework,下載網址為:hxxps://raw.githubusercontent.com/microsoftstorage/vsto/master/chrome_update
- 若系統上已安裝 .NET framework,則下載網址為: hxxps://raw.githubusercontent.com/microsoftstorage/vsto/master/dotnet/chrome_update
圖 3:巨集會根據不同條件使用不同下載網址。
- 找到要更換的桌面捷徑,刪除其原本的連結。
- 建立一個新的連結至新下載的檔案:目標 = %AppData%\Google\chrome_update.exe
圖 4:修改之後指向惡意程式的新捷徑。
除此之外,惡意巨集也會修改快速啟動列上的連結,步驟如下:
- 搜尋「%AppData%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar」目錄底下與 Google 或 Google Chrome 相關的捷徑。
- 將捷徑的目標指向惡意程式。
經過上述步驟之後,當使用者點選桌面或快速啟動列上的捷徑時,就會執行惡意程式 (而非原本的程式)。
惡意程式如何執行惡意服務並掩蓋其痕跡
惡意程式執行之後,會先在「System32」或「SysWoW64」目錄 (視 Windows 版本而定) 當中植入一個名為「WpmPrvSE.exe」的檔案 (趨勢科技命名為:TROJ_DLOADER.COGBA),接著啟動一個名為「WPM Provider Host」的服務。這個服務的內容顯示的資訊為「WPM Provider Host – System-mode WPM Provider Framework Host Process」。
圖 5:惡意程式服務與內容。
接著,會在「System32」或「SysWoW64」當中植入「rar.exe」檔案並產生系統登錄機碼。最後,惡意程式會將原本被修改的桌面與快速啟動列捷徑還原,藉此掩蓋其感染痕跡。
惡意服務運作方式
當惡意程式還在執行時,惡意程式所啟動的服務已經開始下載最終的惡意檔案。該服務首先會設定 1 小時 (3,600,000 ms) 的間隔,也就是每小時從 Google Drive 或 GitHub 下載一個 RAR 壓縮檔。然後利用先前植入的 WinRAR 工具來開啟壓縮檔,壓縮檔內會有一個安裝程式、一些設定檔以及一些其他用來搭配運用的工具。
圖 6:RAR 壓縮檔內容。
該服務會執行 RAR 壓縮檔內的安裝程式 installer.exe (趨勢科技命名為:HKTL_RADMIN)。Installer.exe 接著利用「certutil」指令列工具 (Windows Certificate Services 的元件) 來解開 Base 64 編碼的內容。certutil 會將壓縮檔內的「wsvchost.key」解碼後變成「wsvchost.exe」檔案。Wsvchost.exe 事實上是「Ammyy Admin 3.5」這個知名的遠端系統管理工具。它會在「C:/ProgramData/Ammyy」目錄底下產生一個子目錄,內含 Ammy Admin 的設定,並將「setting3.bin」檔案放到該目錄中,用來變更 Ammyy Admin 的權限。這些設定可讓某個特定的 Ammyy Admin ID (很可能是惡意程式作者的 ID) 擁有被感染系統的完整存取權限。
圖 7:擁有完整存取權限的 ID。
接著,它會執行指令列腳本「stop_ammmyy.ps1」,將原本系統遭感染前已經在執行的 Ammyy 執行程序終止 (若有的話)。我們無法斷定這個步驟的用意為何,因為我們在分析該惡意程式的先前版本時並未看到此步驟,而且對整個攻擊似乎沒有幫助。
此時,安裝程式也會啟動另一個名為「WSVCHost」的服務,該服務所執行的是 wsvchost.exe 檔案 (Ammyy Admin 3.5),接著再利用「procdump」來產生 WSVCHost 相關執行程序的記憶體內容傾印檔 (dump file)。根據我們所分析的樣本,這樣的執行程序有兩個。
圖 8:WSVCHost 服務。
圖 9:使用 procdump 來寫成傾印檔的兩個相關執行程序。
在前述步驟之後,惡意程式接著會使用 certutil 來對產生的記憶體內容傾印檔進行編碼,並用 WinRAR 壓縮成兩個檔案 (此樣本為 dump1.txt.img 和 dump2.txt.img),並放到其中的一個「藏寶」資料夾 (此樣本為「C:\Windows\System32\send_treasure」)。
圖 10:藏寶資料夾。
這兩個檔案會經由 SMTP 電子郵件通訊協定連同其他系統資訊和執行記錄檔一起當成附件傳回給歹徒。它會經由連接埠 465 連上位於 rambler.ru 和 meta.ru 的郵件伺服器。歹徒之所以同時傳送給兩台郵件伺服器,其用意很可能是為了確保內容能夠成功送達。SMTP 郵件伺服器的帳號密碼也直接寫在程式內部,不過也可以透過下載的壓縮檔內的「mails.ini」檔案來設定。
圖 11:惡意程式經由連接埠 465 對外連線。
傾印檔的內容
當我們查看傾印檔的內容時,我們發現了系統的路由器 IP 位址和 Ammyy Admin ID。我們試著在系統上手動安裝一套 Ammyy Admin,然後從其設定畫面當中查看一下該系統的 ID,我們發現它與傾印檔內的 ID 相符。當歹徒掌握了目標系統的 Ammyy Admin ID,並利用惡意程式讓駭客的 ID 獲得此系統的完整存取權限,駭客就能透過 Ammyy Admin 掌控受感染的系統。
圖 12:路由器 IP 位址和 Ammyy Admin ID。
圖 13:手動安裝的 Ammyy Admin 視窗。
除了使用者系統的 Ammyy Admin ID 之外,傾印檔中的其他內容看來似乎並非立即用到。所以歹徒很可能只是想要蒐集一些額外資訊。我們在分析過程當中也發現,某些下載的檔案目前已有變更或更新,這表示惡意程式作者仍在開發該程式。所以它也許還在概念驗證階段也說不定,因此將來很可能再出現新的版本。
解決與防範之道
從它利用巨集來安裝就能看出此惡意程式的行為異於尋常,而且似乎仍在發展。我們相信,此惡意程式並未廣泛流傳,而且目前也只有少數受害者。不過,惡意程式本身及其攻擊方式都值得我們注意,因為後續很可能會出現更新、更強的版本。
Microsoft 之所以預設停用巨集功能,就是因為知道這類內嵌於檔案當中的程式碼很可能被惡意程式所利用。因此,使用者若能熟悉系統的巨集設定,將有助於防範這類攻擊並安全地使用巨集,不過,使用者最好還是避免從不明來源下載一些必須啟用巨集才能開啟的檔案。
除此之外,趨勢科技的端點防護產品也能提供一道額外的防禦,例如: 趨勢科技Smart Protection Suites 、Worry-Free Pro 和PC-cillin 雲端版 (即刻免費下載試用)都能防範類似的威脅來保護一般使用者和企業,這些產品可偵測相關的惡意檔案與垃圾訊息,並且攔截所有相關惡意網址。此外還有趨勢科技進階網路安全防護 可提供一道額外的電子郵件檢查,幫助企業偵測惡意的附件和網址。
趨勢科技的Hosted Email Security 是一套不需您維護的雲端方案,提供持續更新的防護,幫您攔截垃圾郵件、惡意程式、魚叉式網路釣魚、勒索病毒以及進階針對性攻擊,不讓威脅到達您的網路。它能保護 Microsoft Exchange、Microsoft Office 365、Google Apps 以及其他代管式或企業內電子郵件產品。
搭載 XGen™ 防護端點防護的趨勢科技趨勢科技OfficeScan 結合了高準度的機器學習與其他偵測技術和全球威脅情報,提供完整的進階惡意程式防護。
入侵指標 (IoC):
| SHA256 雜湊碼 | 趨勢科技命名 |
| 0181A985897F1FA66EDE98CC04E97B05387743DE198C2DCF4667FA4FDE7779C1 | HKTL_RADMIN |
| 20B05A17623A7E74F7CFE4296BA79CFF8CA6B3EA64F404661B7BC46AB603511C | HKTL_RADMIN |
| 2864B1B7417AACC13A4277D8CB9C94B5A04420F6CCC1CC4DFD3BE4D369406383 | HKTL_RADMIN |
| 2B3CD4D85B2B1F22D88DB07352FB9E93405F395E7D0CFE96490EA2BC03A8C5FF | HKTL_RADMIN |
| 3B85E737965020D82CDC0890F1243732B71977117CDF310554E9DD91B78BFE63 | HKTL_RADMIN |
| 451C4C3FBF5AEC103833FA98D942B1876D9CE84575A00757562489921BC1D396 | HKTL_RADMIN |
| 45B2580DB6D13720014753813EB69C1AA0EFFBD100BB80E5A07D75447489BA0F | HKTL_RADMIN |
| 7730A98FD698F1043184992F1CA349EA1BDFD33D43A0ECE2CD88F9F6DA2E37D1 | HKTL_RADMIN |
| 804D883661BA51CEC97135F9F33C1FA9084384783D59A4F55D496E2901C20289 | TROJ_DLOADER.COGBA |
| 96A4F844D7102D0EE757CAA1719F1CD95D1386E61EB7C694020D6CF14B546880 | HKTL_RADMIN |
| 9EAC92BEC146CE9CEF096105F6531F2EE4C2E1A14507F069728A1022ECDCDEDD | HKTL_RADMIN |
| A4B25E5E72FC552E30391D7CD8182AF023DC1084641D93B7FA6F348E89B29492 | HKTL_RADMIN |
| A9FC2B6F8BC339742268BAC6C02843011EBB670114A786A71FF0FA65397AC9C6 | HKTL_RADMIN |
| C57BF08C414900B5B4AD907272A606D6695C14DC2ACC0264ECA53840EEE3F3F4 | HKTL_RADMIN |
| C9B7C2189D3CEA05A666C45043812D832BED60CFCB8A97222BCA9AFC53B3D229 | HKTL_RADMIN |
| CC60DAE1199C72543DD761C921397F6E457FF0440DA5B4451503BFCA9FB0C730 | HKTL_RADMIN |
| d904495737dfe33599c0c408855f6d0dd9539be4b989eb5ab910eb6ab076d9ef | W2KM_DLOADER.FODAM |
| 第一階段連結 |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1eoZvAJNwYmj97bWhzVLUVIt0lAqWKssD&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1f84hF8spepIVwTMAQU0nYs-6o9ZI3yjo&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1G7pfj4X3R4t8wq_NyCoE2pMYFo-TIkI9&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1GofUo_21wAidnNek5wIqTEH65c5B4mYl&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1NfIqI9SJedlNn02Vww8rd5F73MfLlKsJ&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1NgMUcD8FzNTEi45sNc6Cp-VG-EnK_uL-&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1NStRbzXtC4Vwv2qZ0CjrJYbk5ENFmQv_&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1tBu1-SVAdWQccETb_AxAhBR3CLIrjkOU&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1TjywdxSZfENUorSHyjVDprOsT8Sq1_SW&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1Xhx22-OVqg-ZcpwU6bVBdP9lWZfzyFzB&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1yC0rtWErmwTTyLO3VuP33pgLkfzy0xik&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1YqlYbFUObMjRBvNFfjwkdSJTpxU-rMVy&export=download |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/chrome_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/chrome_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/firefox_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/iexplorer_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/opera_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/updater |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/firefox_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/iexplorer_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/opera_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/updater |
| 第二階段連結 |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1lcw-cN9o3NkR6zkeHrDHg-WiUhHBi1wK&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1OhTA1K04zKFaKw7omXJbmN8_S2VmIcdD&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1okynNTx2kEvx1gBQsmmB3OuS0wQ3A3uE&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1ZFcguS1z4bSCpnMibYZZ8KHdFtN6hscM&export=download |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/winhost[.]img |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/winhost[.]ver |
| hxxps://raw[.]githubusercontent[.]com/modernconceptplanet/vsto/master/winhost[.]img |
| hxxps://raw[.]githubusercontent[.]com/modernconceptplanet/vsto/master/winhost[.]ver |
原文出處:Malicious Macro Hijacks Desktop Shortcuts to Deliver Backdoor 作者:Loseway Lu