巨集病毒Powload 再進化:從無檔案式技巧到圖像隱碼術

Powload 在資安威脅領域歷久不衰,代表它一直在推陳出新。事實上,巨集惡意程式數量在 2018 上半年之所以突然暴增,就是因為當時 Powload 正透過垃圾郵件大量散布。Powload 是 2018 年北美地區最猖獗的威脅之一,它會利用各種技巧在系統植入惡意程式,例如 EmotetBeblohUrsnif 等資訊竊取程式。趨勢科技偵測到Powload 的數量以及我們 2018 年所分析的相關案例/,都較 2017 年顯著增加。另一方面,Powload 在技巧上不斷演進,也顯示它可能還要持續發揮惡勢力一陣子。儘管它的散布管道依然是經由垃圾郵件,但它卻會運用不同技巧在系統上植入惡意程式,包括:避開文件預覽模式、使用無檔案式技巧以及駭入電子郵件帳號等等。


圖 1:趨勢科技 Smart Protection Network的偵測數據 (左) 以及我們已分析的非重複 Powload 樣本案例/案件數量。

我們在近期所見到的 Powload 相關案件中發現,其垃圾郵件所使用的附件檔案開始出現明顯變化,包括使用圖像隱碼術 (steganography) 以及鎖定特定國家。圖 2 說明了這樣的變化,例如,我們 2018 年早期分析到的樣本在感染程序方面較為單純直接,而新的手法則是多了一道手續來躲避偵測。

使用新技巧的 Powload 變種會在系統植入並執行 Ursnif 和 Bebloh 資料竊取程式,而惡意程式的行為則無太大改變。至於散布手法,也類似趨勢科技去年發現的垃圾郵件行動,其散布的資訊竊取程式相同,只不過改經由 Cutwail 殭屍網路來散布。


圖 2:Powload 的典型攻擊流程 (上、中) 以及多增加了一道圖像隱碼術手續的攻擊流程 (下)。

Powload 如何使用圖像隱碼術?

使用圖像隱碼術 (也就是將程式碼暗藏在圖片中) 並非什麼新鮮手法。過去就曾有駭客集團使用圖像隱碼術來暗藏後門程式。此外,也有漏洞攻擊套件會運用它來暗藏惡意廣告流量,更有一些其他威脅用它來隱藏幕後操縱 (C&C) 通訊。

至於 Powload 則是利用圖像隱碼術來隱藏其惡意程式碼。根據我們分析到的 Powload 變種顯示,它們使用一個可公開取得的腳本 (Invoke-PSImage) 來產生包含惡意程式碼的圖片。

而垃圾郵件的附件檔案當中則含有內嵌在文件內的巨集,會執行 PowerShell 腳本來下載這個放在網路上的圖片,然後再從此圖片當中擷取出暗藏的程式碼。


圖 3:用來下載圖片並使用 GetPixel 函式來擷取出隱藏程式碼的 PowerShell 腳本 (如框選部分) 。

圖 4:暗藏惡意程式碼的圖片。


圖 5:受害者所收到的垃圾郵件會偽裝成採購訂單/發票 (左) 或是參考資料/「看板」相關的社交工程誘餌 (右) 來促使收件人下載並點選附件檔案。

攻擊具針對性

此外,我們也從散發 Powload 的垃圾郵件看到了另一股趨勢,那就是歹徒的攻擊目標似乎有針對性。當歹徒將垃圾郵件發送對象鎖定在特定國家 (例如使用特定區域相關的品牌或用語),就能讓郵件的內容或附件檔案變得更具說服力,更容易讓人上當。

另一項好處是,如果自動化或傳統沙盒模擬分析系統的區域設定與垃圾郵件所針對的國家不同,那就無法適當偵測其惡意程式。

惡意程式偵測其所在區域的方法隨我們所分析到的樣本而異,有些是使用 PowerShell 指令「Get-Culture」來取得電腦當前的區域設定。有些則是讀取 Excel 的「xlCountrySetting」屬性 (該值會傳回當前的區域設定資訊) 來判斷受害電腦的所在地點。還有些樣本則是連上某個網址 (如 https://ipinfo.io/country),透過免費工具來傳回電腦的 IP 位於哪個國家。


圖 6:用來檢查電腦區域設定是否設在日本的 PowerShell 腳本 (如框選處)。


圖 7:巨集程式碼只會在 xlCountrySetting 數值等於 81 (日本) 或 82 (韓國) 時才執行其主要行為。


圖 8:用來連線至「ipinfo.io」的 PowerShell 指令。

對付難纏的 Powload


Powload 持續蟬聯 2018 年最猖獗的威脅之一,顯示其新加入的技巧確實發揮作用 (儘管該惡意程式已有相當年紀)。我們預料,Powload 的開發人員會繼續在惡意程式內加入更多技巧,而且該程式還可用於輔助其它攻擊,因此我們也預料 Powload 未來很可能被用來散播資訊竊盜程式以外的惡意程式。使用者必須隨時養成良好的網路資安習慣,並且在遇到可疑、不請自來的郵件時更應小心謹慎。至於企業則應強制採取主動式資安措施來確保網路邊境安全。 以下趨勢科技解決方案能保護使用者與企業,攔截惡意文件與腳本,防止使用者連上駭客架設的網域:PC-cillin 2019 雲端版趨勢科技Smart Protection Suites以及  Worry-Free Business Security 

入侵指標 (IoC):
相關雜湊碼 (SHA-256):

  • 23e85ee19a2f46f4f462e72995b6a91616ea2f315908c1566c36cd0afc3aa200 — 趨勢科技命名為 Trojan.X97M.DLOADR.JHKK
  • 667e30b20e0986c7def59f66d871a579a32f150b61f64aefd431864b33dced12 — Trojan.X97M.DLOADR.JHKH
  • 75a46329eed0e0a2948f4c5e35a3fda1e0f3a23d059ba019de33c654ff0e84fa — Trojan.X97M.POWLOAD.NSFGAIDM
  • 81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804 — Trojan.X97M.POWLOAD.NSFGAIBQ

原文出處:From Fileless Techniques to Using Steganography: Examining Powload’s Evolution 作者:Augusto Remillano Kiyoshi Obuchi (威脅分析師)