FormBook 收錄 Office 365 最新零時差漏洞 (CVE-2021-40444)

趨勢科技偵測到一波新的網路攻擊使用了最新版本的 FormBook 資料竊取程式。新的 FormBook 變種使用的是最近發現的 Office 365 零時差漏洞 CVE-2021-40444。

趨勢科技偵測到一波新的網路攻擊,使用了最新版本的 FormBook 惡意程式。這是一個 2016 年出現的資訊竊取程式,近年來已有多份 FormBook 的分析報告,包括有關  macOS 的支援。FormBook 最知名的特點是使用經過複雜加密編碼的惡意檔案,以及會攻擊文件檔案的漏洞。直到最近之前,FormBook 大多利用 CVE- 2017-0199 漏洞發動攻擊,但新版的 FormBook 變種會使用最新的 Office 365 零時差漏洞  CVE-2021-40444

漏洞攻擊解析


FormBook 的作者稍微重新改寫了原本的漏洞攻擊程式碼,採用我們以及 Microsoft 發現會植入 Cobalt Strike 信標 (beacon) 的程式碼,改攻擊 CVE-2021-40444 漏洞。由於網路上對此漏洞已經有一些分析,所以本文只針對 FormBook 修改當中較為特殊之處加以說明。

FormBook 在「document.xml.rels」檔案中的「Target」屬性使用了一個新的格式,圖 1 右側顯示的是新的格式,它之所以能夠這麼做,是因為攻擊此漏洞時不需要「mhtml」和「!x-usc」兩個屬性。採用新的格式是為了躲避一些利用「Target」屬性來偵測漏洞攻擊的資安軟體。

圖 1:新的「Target」網址格式:左側是之前的版本,右側是新的 FormBook 使用的版本。Target URL format
圖 1:新的「Target」網址格式:左側是之前的版本,右側是新的 FormBook 使用的版本。

不過即使 Target 網址被加入了一長串的目錄變換路徑與空白選項 (最後面連續的「!:」是空白選項),但還是可以觸發這個漏洞,而 Word 還是會發送請求給伺服器,我們擷取到的網路流量即可證明,如圖 2 當中所選取的網路封包。

圖 2:FormBook 文件樣本網路流量擷取。Network capture of a FormBook document sample
圖 2:FormBook 文件樣本網路流量擷取。


FormBook 對此漏洞攻擊手法所做的改變之一,就是導入了加密編碼。圖 3 顯示 FormBook 在漏洞攻擊所用的一部分加密編碼程式碼。

FormBook exploit obfuscation
圖 3:FormBook 在漏洞攻擊中使用了加密編碼。

正如先前提到,FormBook 的作者根據我們和 Microsoft 披露的漏洞攻擊程式碼而稍做了修改。FormBook 增加了兩個函式呼叫來加入反偵錯 (anti-debuggging) 技巧,這通常是用來防止 JavaScript 程式碼被逆向工程追蹤,圖 4 顯示該函式。

FormBook exploit JavaScript anti debugging
圖 4:FormBook 運用了 JavaScript 反偵錯 (anti-debugging) 技巧。

當開發人員開啟瀏覽器內建的除錯工具執行到 f( ) 函式時,就會另外叫出一個新的虛擬機器 (VM) 視窗,裡面包含一個匿名函式,以及一道「debugger」敘述。這樣就會讓視窗焦點從原始程式碼式窗,跳到含有匿名函式的新 VM 視窗。當開發人員繼續逐步執行 JavaScript 程式碼時,還是會繼續執行匿名函式。如此一來開發人員就無法對原本的 JavaScript 程式碼來逐步偵錯,因為會一直重複執行同一道 debugger 敘述。

攻擊流程解析


根據我們的分析,這波攻擊利用了一個含有惡意 Word 附件文件的電子郵件作為入侵途徑。攻擊時採用兩階段 PowerShell 腳本在系統植入 FormBook 惡意程式。此版本的 FormBook 與先前版本相同,不過攻擊的流程有些微改變。攻擊最終植入的 FormBook 惡意程式與先前的攻擊行動以及其他研究人員所分析到的也是相同。此樣本同樣也是我們在將幕後操縱 (C&) 通訊頻道解密之後所發現的 FormBook 4.1 版,參見圖  5。

圖 5:FormBook C&C 解密後的信標 (beacon)。FormBook decrypted beacon
圖 5:FormBook C&C 解密後的信標 (beacon)。

這波攻擊行動的流程大致如圖 6 所示:

圖 6:攻擊流程示意圖。Simplified attack chain diagram
圖 6:攻擊流程示意圖。

圖 6 顯示 FormBook 如何利用兩階段 PowerShell 腳本來進行攻擊。第一階段會下載第二階段腳本,此腳本是放置在 Discord 上的一個附件檔案。最近我們發現惡意檔案上傳至該服務的情況變多,其目的是為了躲避網路防禦機制。

圖 7 顯示一個第一階段 PowerShell 腳本的樣本:

圖 7:第一階段 PowerShell 腳本。PowerShell stage one
圖 7:第一階段 PowerShell 腳本。

根據圖 6,第一階段腳本會再從 Discord 下載第二階段的檔案 (網址本身已加密編碼),其網址格式如下:

hxxps://cdn[.]discordapp[.]com/attachments/889336010087989260/889336402121199686/avatar.jpg

從 Discord 下載的附件檔案就是第二階段的 PowerShell 腳本 (採用 Base64 編碼)。此階段包含了所有執行 FormBook 惡意程式所需要的檔案。

圖 8 顯示第二階段的 PowerShell 腳本:

圖 8:第二階段 PowerShell 腳本。PowerShell second stage.
圖 8:第二階段 PowerShell 腳本。

如圖 8 所示,變數「$decompressedByteArray」含有「.NET」注入器,而變數「$INICAYLA」則含有 FormBook 惡意程式本身。這波攻擊將惡意程式注入「小算盤」處理程序的方法與先前分析到的樣本不同,但這是因為加密編碼的結果是套用在「.NET」注入器。

我們所取得的 FormBook 惡意程式樣本與先前的案例相同,所以此處就不再贅述。

結論


近幾年,我們看到惡意程式利用一些公開服務來散布的情況越來越多。現在,光是利用一些公開服務就有無限的方法可以建立惡意程式基礎架構。而且駭客使用公開服務還有幾項好處:

  • 不需要另外租用及維護服務。
  • 惡意程式的網址看起來就像一般正常網址,更容易避開資安掃描裝置和軟體。
  • 在某些情況下,甚至還可以產生「隨機」的網址。
  • 已預設使用加密流量 (HTTPS)。
  • 自動化資源存取保護 (惡意程式樣本與檔案)。

同時,我們也看到市面上各種惡意程式服務 (Malware-as-a-Service,簡稱 MaaS) 自動產生加密編碼樣本的工具越來越強。

以上兩個因素加起來,能讓駭客在初期散布階段使用先前發現的零時差漏洞時,更不容易被偵測,例如這波攻擊。而此事件也突顯出緊急修補零時差漏洞的重要性。值得注意的是,Microsoft 已在 2021 年 9 月定期更新 (Patch Tuesday) 當中修補了這個漏洞。

如需更強大的防護,Trend Micro Vision One™ 可偵測一些在單一防護層上看似無害的可疑行為,此外還有 Trend Micro  Apex One™ 可保護端點裝置,藉由自動化威脅偵測及回應來防範勒索病毒、無檔案威脅,以及其他進階威脅。 

入侵指標資料

圖 8:第二階段 PowerShell 腳本。
檔案名稱/說明雜湊碼趨勢科技偵測名稱
漏洞攻擊 HTML 檔bb1e9ce455898d6b4d31b2219ff4a5ca9908f7ea0d8046acf846bf839bce1e56Trojan.HTML.CVE202140444.B
payload.caba20abef4eecea05b3f3ab64e9f448159e683cf82f1e87a37372c1cacb976052cTrojan.Win32.CVE202140444.B
avatar.ps16f11be4822381543eb9dd99a9354575c96a50a5720ee38ee1c1b2ad323a03f04Trojan.PS1.POWLOAD.TIAOELH
payload_TNICAYLA.exe_f7c5f885f712adb553ee0de0d935869cc9c5627c01b15a614d748acb72b11c74Trojan.Win32.FORMBOOK.PUSXYV
injector_ncrypt_decompressedByteArray.exe_eab5dc8f37459f2f329afa63b1f8e8569ad229dc88497ab86e7c6a91be4d9264Trojan.Win32.CRYPTINJECT.DV

漏洞攻擊入侵指標 (IoC):

  • hxxp://0x6B[.]0254.0113.0244:8090/payload.cab
  • hxxp://107[.]172.75.164:8090/microsoftonline.html
  • hxxps://cdn[.]discordapp.com/attachments/889336010087989260/889336402121199686/avatar.jpg

網址

  • hxxp://www.code-nana.com/pjje/?t8LP2P=Mf6ydddwV/QU6mZ4nnZxMBdzDcAr2xsvfTgD82WAzYYrxOcjLRrG5mXLygKxYmvGqlzJAQ==&kPq8=K4Nh-6
  • hxxp://www.rajuherbalandspicegarden.com/pjje/?t8LP2P=DltNRLklEPawWuNnsQXifEZmZKsLvkDXv3cKYhiC/0Bh3Q72JrrE/8woD25qq/vxSOxjNQ==&kPq8=K4Nh-6
  • hxxp://www.swaplenders.com/pjje/?t8LP2P=TQtLDRoafbQM4/pEtdovke1/MPx0w24gCyByZx68z3lV5KTK6L4nUj2UtH2v2BgU+KkBhg==&kPq8=K4Nh-6
  • hxxp://www.thechiropractor.vegas/pjje/?t8LP2P=rpNmzTsgN3WrlTJLsfA2BlL5A0hwTnOMjBBWuUAz4iRkWF3ty9m96ejMesY0+5JvVxns9g==&kPq8=K4Nh-6

原文出處:FormBook Adds Latest Office 365 0-Day Vulnerability (CVE-2021-40444) to Its Arsenal 作者:Aliakbar Zahravi、Kamlapati Choubey、Peter Girnus 與 William Gamazo Sanchez

訂閱資安趨勢電子報,每日掌握資安趨勢

加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上

好友人數