攻擊者利用Google Docs傳播Trojan.Laziok
路人甲 · 2016/05/11 15:33php
攻擊者經過 Google Docs 傳播 Trojan.Laziok 木馬,過程當中使用 PowerShell,從 Google Docs 下載木馬、繞過反病毒軟件html
links:https://www.fireeye.com/blog/threat-research/2016/04/powershell_used_for.htmljava
0x00 介紹
經過咱們的多流檢測技術,咱們最近發現了惡意的活動者在經過Google Docs傳播Trojan.Laziok惡意軟件。咱們發現攻擊者試圖在2016年三月份把payload上傳到Google docs上去。在它存活的短短的時間內,從IE(從第3到第11版本)接觸到惡意頁面的用戶可能會在沒有任何安全警告的狀況下被動的成爲惡意payload的主機。在咱們向谷歌警示這個惡意程序存在以後,谷歌快速的清除了這個惡意程序和原始的URL,傳播的狀況也被遏制住了。web
0x01 Payload
這個Trojan.Laziok惡意軟件充當一個攻擊者用來收集他們所要攻擊的系統的信息的偵察工具。它以前在針對能源領域的網絡間諜活動中被發現過,尤爲是在中東地區[1]。在那些活動中,這個惡意軟件是經過帶有惡意附件的垃圾郵件來傳播的,而這些惡意的附件利用的主要是CVE-2012-0158漏洞。shell
本文的這個例子中提到的傳播惡意軟件的技術涉及到了利用用戶運行的支持VBScirpt的IE的方面。windows
0x02 Attack Delivery Point
攻擊者在波蘭域名的主機地址存放了攻擊的第一階段。正以下圖所示,第一階段經過從這個主機地址運行混淆後的JavaScript代碼來啓動攻擊。安全
圖1 response中的被混淆的代碼服務器
一旦被解碼,JavaScript代碼就會打開並經過VBScript在IE(從第3到第11版本)內運行的時候執行CVE-2014-6332漏洞,利用windows OLE的內存崩潰漏洞來自動化的bypass操做系統安全設施以及其餘的保護措施,這樣就會確保攻擊者進入「上帝」模式。CVE-2014-6332的使用,以及被濫用的「上帝」模式,早在2014年末就藉助一個已知的PoC[2]做爲一個組合技被使用,以下圖所示:網絡
圖2a CVE-2014-6332的使用函數
圖2b 在「上帝模式」改變了安全模式標誌以後的runmumaa()函數調用。
接下來,runmumaa()函數會經過PowerShell從Google Docs上下載惡意的payload。PowerShell是經過DownloadFile和ShellExcute命令來下載惡意軟件並在定義好的%APPDATA%環境變量路徑內執行的。全部的VBScript指令和PowerShell腳本都做爲被混淆的腳本的一部分,在document.write(unescape)中,如圖1所示。
PowerShell在bypass反病毒軟件方面也頗有用,由於它能夠直接在內存中注入payloads。咱們以前討論過俄羅斯的活躍的數據竊取活動[3]。看起來這個技術在牽涉到惡意程序的時候仍然很流行,而且這個技術能夠逃避Google Docs的安全檢查。這個payload會從Google Docs上下載連接——如圖3中去混淆後的代碼所示——最終會從上述的波蘭網站上獲取活動的惡意軟件。
圖3 使用Powershell得到在Google Docs連接上的payload
0x03 Payload細節
被下載下來的payload是惡意程序Trojan.Laziok,它的回調函數和如下的數據能夠做爲證實:
00406471 PUSH 21279964.00414EED ASCII "open"
0040649C MOV EDX,21279964.004166A8 ASCII "idcontact.php?COMPUTER="
004064B1 MOV EDX,21279964.00415D6D ASCII "&steam="
004064D2 MOV EDX,21279964.00416D96 ASCII "&origin="
004064F3 MOV EDX,21279964.00416659 ASCII "&webnavig="
00406514 MOV EDX,21279964.00416B17 ASCII "&java="
00406535 MOV EDX,21279964.00415601 ASCII "&net="
00406556 MOV EDX,21279964.00414F76 ASCII "&memoireRAMbytes="
0040656B MOV EDX,21279964.0041628C ASCII "&diskhard="
0040658E MOV EDX,21279964.00414277 ASCII "&avname="
004065AF MOV EDX,21279964.00416BFC ASCII "&parefire="
004065D0 MOV EDX,21279964.0041474A ASCII "&install="
004065E5 MOV EDX,21279964.00414E12 ASCII "&gpu="
00406606 MOV EDX,21279964.004164B7 ASCII "&cpu="
00406659 MOV EDX,21279964.004170F9 ASCII "bkill.php"
004066B9 MOV EDX,21279964.00415B79 ASCII "0000025C00000C6B000008BB000006ED0000088900000453000004CE0000054100000B75"
004066ED MOV EDX,21279964.004149CD ASCII "install_info.php"
00406735 MOV EDX,21279964.00415951 ASCII "pinginfo.php"
00406772 MOV EDX,21279964.00416B6B ASCII "get.php?IP="
00406787 MOV EDX,21279964.0041463F ASCII "&COMPUTER="
0040679C MOV EDX,21279964.00416DF5 ASCII "&OS="
004067B1 MOV EDX,21279964.00415CB8 ASCII "&COUNTRY="
004067C6 MOV EDX,21279964.00416069 ASCII "&HWID="
004067DB MOV EDX,21279964.00414740 ASCII "&INSTALL="
004067F0 MOV EDX,21279964.00415BE3 ASCII "&PING="
00406805 MOV EDX,21279964.004158E2 ASCII "&INSTAL="
0040681A MOV EDX,21279964.00414D3E ASCII "&V="
0040682F MOV EDX,21279964.00414E5D ASCII "&Arch="
00406872 MOV EDX,21279964.00414166 ASCII "post.php"
00406899 MOV EDX,21279964.00414EB0 ASCII "*0"
複製代碼
上面的Payload的指令一旦被解壓,就會突出Trojan.Laziok的顯著特性。這個惡意程序試圖收集關於計算機名稱、CPU細節、RAM大小、位置(國家)以及安裝的軟件和防病毒程序的信息。咱們的MVX引擎也顯示這個惡意程序嘗試訪問流行的防病毒軟件的文件,好比Kaspersky、McAfee、Symantec以及Bitdefender的安裝文件。它同時也經過把本身copy到已知的文件夾和進程中來進行混淆,好比:
C:\Documents and Settings\admin\Application Data\System\Oracle\smss.exe
這個Payload也嘗試回調到一個著名的作壞事的波蘭服務器:http://193.189.117.36。
咱們在2016年3月份發現了這種攻擊的第一個例子。這個惡意軟件知道咱們通知了Google它的存在以後才被Google清理掉。用戶在通常狀況下並不能從Google Docs上下載到惡意的內容,由於Google作了一些主動掃描而且對惡意內容做了過濾。然而這個樣本在Google Docs上是存在的而且是能夠下載的,這也證實它繞過了Google的安全檢查。在接到咱們的通知之後,Google迅速的清除掉了惡意的文件,這個惡意的文件也不再能被獲取到了。
0x04 結論
FireEye的多流檢測技術捕獲了此次活動的全部細節,從入口點到回調哈數,而且這個惡意軟件不能bypass FireEye沙箱的安全措施。PowerShell的數據竊取活動也被觀察到經過帶有嵌入宏命令的文件進行傳播,因此企業環境須要格外的重視使用PowerShell的政策和規定。
- http://www.symantec.com/connect/blogs/new-reconnaissance-threat-trojanlazioktargets- energy-sector
- http://blog.trendmicro.com/trendlabs-security-intelligence/a-killer-combocritical- vulnerability-and-godmode-exploitation-on-cve-2014-6332/
- https://www.fireeye.com/blog/threatresearch/2015/12/uncovering_activepower.html
- 1. Google 警告僞裝成 Google Docs 的釣魚攻擊
- 2. 利用隱寫術實施攻擊
- 3. 【威脅通告】攻擊者利用漏洞攻擊Edimax WiFi橋接器
- 4. 利用Metasploit來攻擊Mysql
- 5. 雲服務攻擊利用
- 6. 利用PowerUpSQL攻擊SQL Server實例
- 7. google objective-c client library (docs & spreadsheets)
- 8. 攻擊者如何使用AppleScript攻擊macOS?
- 9. 攻擊者利用BlackEnergy銷燬磁盤文件
- 10. 攻擊者如何利用AppleScript繞過防禦機制
- 更多相關文章...
- • RSS
元素 - RSS 教程 - • Google Chrome 瀏覽器 - 瀏覽器信息
- • 適用於PHP初學者的學習線路和建議
- • Flink 數據傳輸及反壓詳解
-
每一个你不满意的现在,都有一个你没有努力的曾经。