SettingContent-ms 可被用於執行複雜的 DeepLink 以及Icon-based 的惡意程式碼

微軟SettingContent-ms最近成為備受關注的話題。趨勢科技在七月看到一個垃圾郵件活動利用惡意的SettingContent-ms檔案嵌入PDF檔中,目的是為了執行遠端存取的木馬程式FlawedAmmyy, 這個遠端存取木馬(RAT) 也被使用在Necurs殭屍網路上. 而攻擊行動主要鎖定的目標是歐洲和亞洲的銀行。

SettingContent-ms最近才加入微軟軟體中,最早是在Windows 10中引入。以XML格式/語言寫入此類型檔案中,通常這類型檔案會包含Windows功能的設定內容,例如更新流程以及開啟某些特定類型檔案的應用程式等。這些檔案最常被用來當成開啟舊版Winodws控制台的捷徑。

Figure 1

圖1.SettingContent-ms的副檔名以及icon

 

Figure 2

圖2.Figure 2. 正常 SettingContent檔案中的 DeepLink tag

除了垃圾郵件活動之外,還有一些關於微軟SettingContent-ms的概念驗證(POC)研究,在七月份由Specter Ops所發佈。由此份研究報告以及實際出現的攻擊行動顯示出只要將DeepLink tag下的指令替換成惡意指令碼,便可利用SettingContent-ms執行惡意程式。一開始當微軟從研究人員聽到這個問題時,他們並不認為這是作業系統的弱點。但是在2018年8月,他們公布了修正程式以修補這個問題: CVE-2018-8414

Figure 3

圖 3.  DeepLink tag 下的惡意指令碼

如圖3所示,是一個SettingContent-ms被濫用的範例,在DeepLink tag下的惡意指令碼可以執行PowerShell script並從惡意網站下載並執行惡意程式。

在進一步研究這些方法時,我們開始看到該技術的局限性。 單獨使用DeepLink似乎有一些缺點:

優點 

  • 檔案size較小 – 乍看之下不容易看出可疑性 

缺點

  •  容易佈署 
  • 最多只接受517個字元 
  • 侷限在一些命令執行技術,例如: Command Prompt,PowerShell,MSHTA,Certutil,Bitsadmin, WMI 

藉由這些觀察,進一步的研究發現可以利用SettingContent-ms發展其他技術。稍早之前,研究人員已經研究如何利用Icon Tag應用在惡意的攻擊活動。為了驗證這個技術是否可行,我們建立了一個SettingContent PoC,這包含了DeepLink以及Icon tag,用來裝載惡意程式碼。

DeepLink + Icon-based的惡意程式碼—如何運作?

在這個情境中,DeepLink tag只能包含一個指令,並且可以呼叫寫在Icon tag下的惡意程式碼。在我們的PoC研究中,我們將Icon tag下的Script做了非常深度的程式碼混淆,如同圖4所示。

Figure 4

圖 4. DeepLink 呼叫了 Icon tag

Figure 5

圖 5. 寫在Icon tag下的惡意PowerShell script (移除程式碼混淆)

我們做了這個測試目的是為了確認Icon-based這類較長以及複雜的惡意程式碼是否會執行,結果這類惡意程式碼的確可以被執行。在這個Poc中寫入在Icon tag下的PowerShell script是來自於TROJ_PSINJECT.A,這個惡意程式會下載ANDROM/GAMARUE。

即便做了這樣的操作,無論在Icon tag下被寫入什麼,Icon顯示仍為空白(如圖 1所示)。

假設這樣的技術可能成為未來潛在的威脅,仍有其優缺點:

優點

  • 容易佈署
  • Icon tag可以寫入的字元數不受限制
  • 不限於簡單的命令執行;可以佈署各種個Script例如ReflectivePEInjection, backdoors,等等。

缺點

  • 檔案size較大- 容易被標註為可疑程式

 

解決方案以及緩解方式

這個技術顯示出網路犯罪可能擁有很多的工具,用來協助他們佈署複雜又有效的惡意程式碼。上述的情境,由一個SettingContent-ms中DeepLink tag下的惡意指令開始,進而我們發現了可以透過Icon tag佈署更複雜以及更長的惡意程式碼。

除了SettingContent-ms之外,可能還有其他更多的正常檔案被濫用。因此我們必須持續針對不同的應用程式進行研究,比惡意程式作者以及新的威脅更早一步發現可能的風險。

為了防護濫用SettingContent-ms的類似威脅,可以利用具備行為分析能力的解決方案,透過行為監控可以發掘並阻擋惡意的指令,以避免惡意程式在受害者的電腦上被執行。

趨勢科技趨勢科技OfficeScan  XGen™ 防護 端點防護使用高準度機器學習(Machine learning,ML)以及其他的偵測技術搭配全球威脅情資可以提供全面的安全防護,對抗進階的惡意程式。我們也持續監控SettingContent-ms類型檔案是否出現新的惡意指令。

◎原文來源: SettingContent-ms can be Abused to Drop Complex DeepLink and Icon-based Payload  作者:Michael Villanueva