貌似空白的 excel 工作表,開啟前注意三件事,嚴防內嵌AutoHotkey惡意腳本攻擊

趨勢科技發現了一個可能利用合法腳本引擎AutoHotkey加上惡意腳本的針對性目標攻擊(Targeted attack )。此腳本會偽裝成電子郵件內的附件檔(Military Financing.xlsm)。使用者需要啟用巨集功能才能完全開啟檔案,接著會用AutoHotkey載入惡意腳本來避免被偵測。它還可以讓駭客竊取某些資訊,甚至下載TeamViewer來取得對系統的遠端控制能力。目前尚未確認此攻擊的目的。但因為其具備網路間諜能力,除了可能發動 針對性目標攻擊(Targeted attack ) 外,也可能散播勒索病毒和挖礦病毒。


該電子郵件附加的Excel檔案標題(Foreign Military Financing (FMF))以美國國防安全合作局的一項計劃命名, 內含兩個表單,其中一個以“ ”(空格)命名。趨勢科技提醒開啟附件前注意三件事:

  1. 下載和開啟附件檔前要先檢查寄件者、標題和本文是否有任何可疑之處。
  2. 記得檢查附加檔副檔名,確認是否跟郵件內容一致。
  3. 要啟用內容以打開檔案前請檢查可疑徵兆,如要求使用者啟用巨集的內容或顯示為空白的內容。

啟用巨集來開啟xlsm檔案時,就會被植入合法腳本引擎AutoHotkey以及惡意腳本

當使用者啟用巨集來開啟xlsm檔案時,就會被植入合法腳本引擎AutoHotkey以及惡意腳本。AutoHotkey載入惡意腳本後會連到C&C伺服器來下載並執行其他腳本來回應伺服器的命令。根據我們的觀察,它最終會下載並執行TeamViewer來取得對系統的遠端控制能力。但根據從C&C伺服器接收的命令,它可以下載並執行其他腳本。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/04/figure-1-attack-chain-starting-with-the-arrival-of-the-email-with-the-malicious-attachment-640x480.jpg

圖1. 攻擊鏈從夾帶惡意附件檔的電子郵件開始


企圖魚目混珠的Excel空白檔案

電子郵件附加的Excel檔案標題(Foreign Military Financing (FMF))是用美國國防安全合作局的一項計劃命名。這可能會讓使用者更願意開啟內容好讀取機密資料。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/04/Figure-2-Content-2.jpg

圖2. Excel檔案內容

乍一看,這個Excel檔案似乎只有一個填充用表單。但如圖2所示,還有另一個不明顯地用“ ”(空格)命名的工作表。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/04/Figure-3-HEX-strings-in-the-second-sheet-originally-%E2%80%9Chidden%E2%80%9D-using-white-font-640x798.jpg

圖3. 第二張表單內的HEX字串原先是用白色字體加以隱藏

一旦使用者為此檔案啟用了巨集功能,它會透過空格工作表內兩欄用HEX字串寫成的二進位文字來植入兩個檔案。這些HEX字串原先是使用白色字體來讓人以為是空白內容。被植入的檔案是:

  • X欄的內容:「C:\ProgramData\AutoHotkeyU32.exe」(合法的AutoHotkey執行檔)
  • Y欄的內容:「C:\ProgramData\AutoHotkeyU32.ahk」(攻擊者製作的AutoHotkey惡意腳本)

惡意字串和AutoHotkey的濫用

AutoHotkey應用程式可以根據腳本來分配熱鍵或執行腳本內編寫的任何程序。在這案例中,腳本檔AutoHotkeyU32.ahk不會分配熱鍵,但它會執行以下命令:

  • 為AutoHotkeyU32.exe在啟動資料夾內新增一個捷徑,可以讓攻擊在系統重啟後繼續存在。
  • 每10秒連到C&C伺服器來下載、儲存和執行包含命令的腳本檔案。
  • 送出C磁碟的磁區序號,讓攻擊者可以識別受害者。
https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/04/figure-4-a-partial-code-snippet-of-autohotkeyu32ahk-640x570.jpg

圖4. AutoHotkeyu32.ahk的部分程式碼

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/04/figure-5-a-sample-cc-respon-640x368.jpg

圖5. C&C回應範例

當攻擊者通過C&C發送類似圖5範例所示的回應時,腳本會將HEX字串轉成純文字,得出了網址「001::hxxp://185.70.186.145/7773/plug/hscreen.ahk」。接著它會從這網址下載ahk檔案(hscreen.ahk),使用隨機檔名儲存在資料夾(%temp%),最後透過AutoHotkeyU32.exe載入執行。在本文撰寫時,此網址已無法使用。


攻擊者可取得電腦名稱並進行螢幕截圖,並下載TeamViewer遠端控制系統

進一步研究後發現了其他相關檔案。這些檔案讓攻擊者可以取得電腦名稱並進行螢幕截圖。更重要的是,其中一個檔案還可以下載TeamViewer,這是個遠端存取工具,可以讓駭客遠端控制系統。

我們尚未確認此攻擊的目的。但因為其具備的網路間諜能力,可以推測可能會被用來進行針對性攻擊,同時也可能派送勒索病毒和挖礦病毒。

趨勢科技會持續監控此攻擊,同時使用者也可以再次地評估自己對抗類似攻擊的安全措施。要對抗大多數的攻擊,使用者應該要實施多層次防禦並制定緩解方案來偵測和解決入侵問題。使用者還應該加強設定來充分發揮網路防禦解決方案的能力,尤其是對電子郵件附加的巨集病毒。

此類攻擊再次強調了從未知來源下載檔案或為未知來源檔案啟用巨集功能前要小心謹慎。Microsoft提供了數個有關啟用內容的安全通知

入侵指標

SHA256 檔名 偵測名稱 描述
EFE51C2453821310C7A34DCA3054021D0F6D453B7133C381D75E3140901EFD12 Military Financing.xlsm W2KM_HTV.ZKGD-A 夾帶惡意腳本和AutoHotkeyU32.ahk
43FBDA74A65668333727C6512562DB4F9E712CF1D5AD9DCA8F06AE51BB937BA2 hscreen.ahk TSPY_HTV.ZJGD-A 進行螢幕截圖
ACB3181D0408C908B2A434FC004BF24FB766D4CF68BF2978BC5653022F9F20BE AutoHotkeyU32.ahk BKDR_HTV.ZKGD-A 載入惡意腳本
BE6C6B0942AD441953B0ED0C4327B9DED8A94E836EACA070ACA3988BADB31858 hinfo.ahk TSPY_HTV.ZLGD-A 取得電腦名稱
F64792324839F660B9BDFDA95501A568C076641CF08CE63C1DDBE29B45623AC0 htv.ahk TROJ_HTV.ZJGD-A 下載和執行TeamViewer

C&C

原文出處:Potential Targeted Attack Uses AutoHotkey and Malicious Script Embedded in Excel File to Avoid Detection 作者:Hiroyuki Kakara和Kazuki Fujisawa