趨勢科技發現了一個可能利用合法腳本引擎AutoHotkey加上惡意腳本的針對性目標攻擊(Targeted attack )。此腳本會偽裝成電子郵件內的附件檔(Military Financing.xlsm)。使用者需要啟用巨集功能才能完全開啟檔案,接著會用AutoHotkey載入惡意腳本來避免被偵測。它還可以讓駭客竊取某些資訊,甚至下載TeamViewer來取得對系統的遠端控制能力。目前尚未確認此攻擊的目的。但因為其具備網路間諜能力,除了可能發動 針對性目標攻擊(Targeted attack ) 外,也可能散播勒索病毒和挖礦病毒。
該電子郵件附加的Excel檔案標題(Foreign Military Financing (FMF))以美國國防安全合作局的一項計劃命名, 內含兩個表單,其中一個以“ ”(空格)命名。趨勢科技提醒開啟附件前注意三件事:
- 下載和開啟附件檔前要先檢查寄件者、標題和本文是否有任何可疑之處。
- 記得檢查附加檔副檔名,確認是否跟郵件內容一致。
- 要啟用內容以打開檔案前請檢查可疑徵兆,如要求使用者啟用巨集的內容或顯示為空白的內容。
啟用巨集來開啟xlsm檔案時,就會被植入合法腳本引擎AutoHotkey以及惡意腳本
當使用者啟用巨集來開啟xlsm檔案時,就會被植入合法腳本引擎AutoHotkey以及惡意腳本。AutoHotkey載入惡意腳本後會連到C&C伺服器來下載並執行其他腳本來回應伺服器的命令。根據我們的觀察,它最終會下載並執行TeamViewer來取得對系統的遠端控制能力。但根據從C&C伺服器接收的命令,它可以下載並執行其他腳本。
圖1. 攻擊鏈從夾帶惡意附件檔的電子郵件開始
企圖魚目混珠的Excel空白檔案
電子郵件附加的Excel檔案標題(Foreign Military Financing (FMF))是用美國國防安全合作局的一項計劃命名。這可能會讓使用者更願意開啟內容好讀取機密資料。
圖2. Excel檔案內容
乍一看,這個Excel檔案似乎只有一個填充用表單。但如圖2所示,還有另一個不明顯地用“ ”(空格)命名的工作表。
圖3. 第二張表單內的HEX字串原先是用白色字體加以隱藏
一旦使用者為此檔案啟用了巨集功能,它會透過空格工作表內兩欄用HEX字串寫成的二進位文字來植入兩個檔案。這些HEX字串原先是使用白色字體來讓人以為是空白內容。被植入的檔案是:
- X欄的內容:「C:\ProgramData\AutoHotkeyU32.exe」(合法的AutoHotkey執行檔)
- Y欄的內容:「C:\ProgramData\AutoHotkeyU32.ahk」(攻擊者製作的AutoHotkey惡意腳本)
惡意字串和AutoHotkey的濫用
AutoHotkey應用程式可以根據腳本來分配熱鍵或執行腳本內編寫的任何程序。在這案例中,腳本檔AutoHotkeyU32.ahk不會分配熱鍵,但它會執行以下命令:
- 為AutoHotkeyU32.exe在啟動資料夾內新增一個捷徑,可以讓攻擊在系統重啟後繼續存在。
- 每10秒連到C&C伺服器來下載、儲存和執行包含命令的腳本檔案。
- 送出C磁碟的磁區序號,讓攻擊者可以識別受害者。
圖4. AutoHotkeyu32.ahk的部分程式碼
圖5. C&C回應範例
當攻擊者通過C&C發送類似圖5範例所示的回應時,腳本會將HEX字串轉成純文字,得出了網址「001::hxxp://185.70.186.145/7773/plug/hscreen.ahk」。接著它會從這網址下載ahk檔案(hscreen.ahk),使用隨機檔名儲存在資料夾(%temp%),最後透過AutoHotkeyU32.exe載入執行。在本文撰寫時,此網址已無法使用。
攻擊者可取得電腦名稱並進行螢幕截圖,並下載TeamViewer遠端控制系統
進一步研究後發現了其他相關檔案。這些檔案讓攻擊者可以取得電腦名稱並進行螢幕截圖。更重要的是,其中一個檔案還可以下載TeamViewer,這是個遠端存取工具,可以讓駭客遠端控制系統。
我們尚未確認此攻擊的目的。但因為其具備的網路間諜能力,可以推測可能會被用來進行針對性攻擊,同時也可能派送勒索病毒和挖礦病毒。
趨勢科技會持續監控此攻擊,同時使用者也可以再次地評估自己對抗類似攻擊的安全措施。要對抗大多數的攻擊,使用者應該要實施多層次防禦並制定緩解方案來偵測和解決入侵問題。使用者還應該加強設定來充分發揮網路防禦解決方案的能力,尤其是對電子郵件附加的巨集病毒。
此類攻擊再次強調了從未知來源下載檔案或為未知來源檔案啟用巨集功能前要小心謹慎。Microsoft提供了數個有關啟用內容的安全通知。
入侵指標
| SHA256 | 檔名 | 偵測名稱 | 描述 |
| EFE51C2453821310C7A34DCA3054021D0F6D453B7133C381D75E3140901EFD12 | Military Financing.xlsm | W2KM_HTV.ZKGD-A | 夾帶惡意腳本和AutoHotkeyU32.ahk |
| 43FBDA74A65668333727C6512562DB4F9E712CF1D5AD9DCA8F06AE51BB937BA2 | hscreen.ahk | TSPY_HTV.ZJGD-A | 進行螢幕截圖 |
| ACB3181D0408C908B2A434FC004BF24FB766D4CF68BF2978BC5653022F9F20BE | AutoHotkeyU32.ahk | BKDR_HTV.ZKGD-A | 載入惡意腳本 |
| BE6C6B0942AD441953B0ED0C4327B9DED8A94E836EACA070ACA3988BADB31858 | hinfo.ahk | TSPY_HTV.ZLGD-A | 取得電腦名稱 |
| F64792324839F660B9BDFDA95501A568C076641CF08CE63C1DDBE29B45623AC0 | htv.ahk | TROJ_HTV.ZJGD-A | 下載和執行TeamViewer |
C&C
原文出處:Potential Targeted Attack Uses AutoHotkey and Malicious Script Embedded in Excel File to Avoid Detection 作者:Hiroyuki Kakara和Kazuki Fujisawa