日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
釋放Rootkit的無(wú)文件型宏惡意程序分析

介紹

正當(dāng)海灣合作委員會(huì)(GCC,Gulf Cooperation Council)成員國(guó)疲于應(yīng)付Shamoon惡意軟件時(shí),他們的服務(wù)器又遭受了一種全新的垃圾郵件的攻擊。這種VB宏形式惡意文檔看起來(lái)是像是經(jīng)過(guò)全新編寫(xiě)或改造的,至少在本文成稿時(shí),還沒(méi)在任何地方發(fā)現(xiàn)它的活動(dòng)蹤跡。

有多個(gè)GCC成員國(guó)組織收到過(guò)幾封嵌有惡意文檔附件的垃圾郵件,該文檔能夠躲避所有的安全檢測(cè)并成功投遞到受害者收件箱中,一個(gè)樣本信息如下圖所示:

即使不打開(kāi)該文檔,通過(guò)文檔的屬性信息我們還是可以猜測(cè)出它是一份惡意文件。文檔屬性信息如下圖:

打開(kāi)文檔后,Word提示文檔宏已經(jīng)被禁用,而文檔內(nèi)容則誘騙用戶(hù)啟用Word宏功能,如下圖:

惡意文檔分析

我們直接跳到宏代碼分析部分:

其中“Document_Open ()”函數(shù)使得宏腳本在用戶(hù)打開(kāi)文檔時(shí)就會(huì)自動(dòng)運(yùn)行。

當(dāng)我們對(duì)代碼進(jìn)行靜態(tài)分析時(shí),我們發(fā)現(xiàn)一些有用的代碼片段,細(xì)查這些片段,可以看到一些經(jīng)過(guò)編碼的字符串會(huì)被傳遞給“RraiseeventR”函數(shù),返回結(jié)果會(huì)存放在另一個(gè)變量中。

我們還可以看到許多這樣的變量,而“RraiseeventR”函數(shù)往往一同出現(xiàn)。因此我們猜測(cè)函數(shù)與解密流程有關(guān)。

“RraiseeventR”函數(shù)的部分代碼如下所示:

經(jīng)過(guò)進(jìn)一步的靜態(tài)分析,我們可以發(fā)現(xiàn)所有的變量會(huì)拼接匯聚起來(lái)。腳本調(diào)試的主要優(yōu)點(diǎn)就在于可以利用代碼自身來(lái)對(duì)編碼部分進(jìn)行解碼或解密。

對(duì)這些變量值進(jìn)行解碼后,它們的功能也逐步清晰起來(lái)。整體看來(lái),它們應(yīng)該是PowerShell腳本,其中還包含“URL”信息。

所有的變量拼接起來(lái)形成“inEmptyMe”變量,內(nèi)容是一個(gè)完整的PowerShell腳本。

將PowerShell腳本從變量中提取出來(lái),規(guī)范化格式以便閱讀。分析該P(yáng)owerShell代碼可知,其功能是文件的下載執(zhí)行。

進(jìn)一步分析的話(huà),我們還以發(fā)現(xiàn)代碼中有個(gè)潛在的策略,能夠繞過(guò)UAC及其他檢測(cè)。

代碼工作過(guò)程分析如下:

1) 隱式調(diào)用powershell.exe,進(jìn)行變量的賦值工作。$wscript變量指向WScript.Shell,用于運(yùn)行帶參數(shù)的shell命令;

2)定義$webclient變量,用來(lái)從給定的URI上傳或下載數(shù)據(jù)。每個(gè)web client調(diào)用可通過(guò)web請(qǐng)求類(lèi)來(lái)實(shí)現(xiàn),如“DownloadFile”類(lèi)(比如WebClient.DownloadFile 或WebClient.UploadFile);

3)定義$random變量用來(lái)產(chǎn)生1到65535之間的隨機(jī)數(shù);

4)定義$urls變量,指向一或多個(gè)可執(zhí)行文件的惡意網(wǎng)址。這代表腳本可作為下載器,執(zhí)行其他文件。

5)下載文件被重命名為隨機(jī)數(shù)字字符串,以.exe后綴名結(jié)尾,保存在“temp“文件夾中。

6)定義$hkey變量,值為“HKCU\Software\Classes\mscfile\shell\open\command“。

7)接下來(lái),腳本訪問(wèn)指定的URL,下載可執(zhí)行文件,按步驟5)重命名并保存到臨時(shí)文件夾中。

至此,該P(yáng)owerShell腳本使用的策略已躍然紙上,也就是使用無(wú)文件形式的UAC繞過(guò)方法,利用注冊(cè)表獲得系統(tǒng)最高權(quán)限。

仔細(xì)研讀代碼后,讀者心里可能會(huì)有兩個(gè)問(wèn)題:

1)為什么腳本要修改注冊(cè)表“HKCU\Software\Classes\mscfile\shell\open\command“鍵值,將可執(zhí)行惡意文件路徑添加該鍵值中?

2)為什么腳本需要利用“eventvwr.exe“?

其實(shí)這兩者之間存在很大的關(guān)聯(lián)性。讓我們將視角聚焦到時(shí)間處理器(event viewer)以及該注冊(cè)表鍵值上。

打開(kāi)注冊(cè)表讀取該鍵值,我們可以看到鍵值指向了“mmc.exe“(Microsoft Management微Console,軟管理控制臺(tái))的所在路徑。

“mmc.exe“用來(lái)打開(kāi).msc文件(Microsoft Saved Consoles),比lusrmgr.msc、eventvwr.msc等。

通常我們運(yùn)行eventvwr.exe時(shí),它首先會(huì)訪問(wèn)注冊(cè)表“HKCU\Software\Classes\mscfile\shell\open\command“鍵值,詢(xún)問(wèn)mmc.exe所在地址。

不幸的是,查詢(xún)結(jié)果是值不存在(NAME NOT FOUND)。

在注冊(cè)表中,“HKEY_CLASSES_ROOT“是”HKEY_LOCAL_MACHINE\SOFTWARE\Classes“和”HKEY_CURRENT_USER\Software\Classes“兩者的結(jié)合。

因此,當(dāng)eventvwr.exe無(wú)法從HKCU中獲取該值時(shí),它會(huì)立刻查詢(xún)HKCR中對(duì)應(yīng)的鍵值,并且在第二次查詢(xún)時(shí)成功獲取該值。如下所示:

eventvwr.exe通過(guò)注冊(cè)表啟動(dòng)mmc.exe,mmc再通過(guò)GUI圖形界面向用戶(hù)呈現(xiàn)eventvwr.msc,如下所示:

此外,查看eventvwr.exe的manifest信息,可以發(fā)現(xiàn)它以最高執(zhí)行權(quán)限運(yùn)行,并且會(huì)自動(dòng)提升運(yùn)行權(quán)限,如下圖所示:

現(xiàn)在回到我們的惡意樣本分析工作,該惡意PowerShell腳本篡改該HKCU鍵值,將其修改為已下載的惡意可執(zhí)行文件路徑,然后使用eventvwr.exe觸發(fā)惡意程序的運(yùn)行。

該過(guò)程最終導(dǎo)致惡意程序得以借助事件查看器以最高權(quán)限運(yùn)行。

我們?cè)试S該文檔的宏功能,復(fù)現(xiàn)以上分析過(guò)程。

如我們預(yù)期,Power Shell首先被觸發(fā),從遠(yuǎn)程主機(jī)下載惡意程序,以隨機(jī)名保存在臨時(shí)目錄中,通過(guò)eventvwr和mmc運(yùn)行該惡意程序,如下圖所示:

我們還可以看到惡意軟件正以高權(quán)限運(yùn)行,軟件的任何操作也會(huì)運(yùn)行在高權(quán)限狀態(tài)下。

至此,惡意文檔的使命達(dá)成,將指揮權(quán)交給所下載的惡意軟件。

簡(jiǎn)單小結(jié)一下,惡意文檔感染后,通過(guò)PowerShell腳本下載另一個(gè)惡意軟件,通過(guò)事件查看器和MMC注冊(cè)表鍵值成功繞過(guò)UAC限制,以高權(quán)限運(yùn)行。

惡意軟件分析

經(jīng)過(guò)初步分析,我們發(fā)現(xiàn)惡意軟件具有高超的環(huán)境檢測(cè)功能,可以檢測(cè)虛擬機(jī)、調(diào)試器和其他監(jiān)控工具是否存在。同時(shí),它也是一個(gè)Rootkit形式的信息竊取工具。

惡意軟件運(yùn)行后,會(huì)釋放一個(gè)批處理腳本,當(dāng)軟件檢測(cè)到自身正在被分析時(shí),腳本會(huì)進(jìn)行自刪除操作,防止被取證分析。腳本釋放在軟件運(yùn)行的當(dāng)前臨時(shí)目錄中,同樣也是以高權(quán)限運(yùn)行。

腳本內(nèi)容如下:

惡意軟件將一個(gè)vb腳本文件釋放到啟動(dòng)文件夾中,以達(dá)到本地持久化目的。每次機(jī)器重啟時(shí),惡意軟件會(huì)借由該腳本重新運(yùn)行。

利用調(diào)試器分析惡意軟件,可以從中找到一些有趣的字符串,比如“Welcome to China!”、“Progman”等。軟件采用了結(jié)構(gòu)化異常處理機(jī)制(Structured Exception handler)來(lái)防止被逆向分析。

此外,惡意軟件使用了某些防分析的API調(diào)用方法,包括GetTickCount、IsDebuggerPresent、CreateToolhelp32Snapshot、FindWindowA等。后續(xù)可進(jìn)一步深入分析該惡意軟件的工作過(guò)程。

總結(jié)

惡意軟件的以上所有行為僅在用戶(hù)允許文檔運(yùn)行宏時(shí)才會(huì)發(fā)生,這也是安全公司和安全顧問(wèn)始終在討論惡意軟件防范中培養(yǎng)“用戶(hù)意識(shí)”的原因。

現(xiàn)在越來(lái)越多的垃圾郵件使用惡意文件、嵌入宏或OLE對(duì)象的惡意文檔開(kāi)展攻擊,Shamoon APT的第三波垃圾郵件攻擊行為也已見(jiàn)諸報(bào)道。

培養(yǎng)“用戶(hù)意識(shí)”后,我們還可以在端點(diǎn)部署某些小型安全措施,比如禁止臨時(shí)文件夾中的任意文件運(yùn)行,就可以防止很多這種類(lèi)型的感染。


本文名稱(chēng):釋放Rootkit的無(wú)文件型宏惡意程序分析
網(wǎng)址分享:http://www.dlmjj.cn/article/dpojsio.html