Cybaze- Yoroi ZLab安全研究人员最近分析了一个特殊的恶意软件样本。该恶意软件样本看起来像一个合法的email附件，名为invoice.doc。含有宏的武器化的office文档是传播恶意软件最常用和最有效的方法之一，因为这些文档一般都使用简单的社会工程技巧来诱使用户启用宏。

恶意软件的感染链工作流如下图所示：

图1 – 恶意软件工作流

技术分析

表1 – 释放器信息

表2 – 伪造的PNG, powershell脚本信息

打开后，文档会要求用户启用宏脚本，而宏脚本是严重混淆了的可以绕过静态检测。

图2 – 要求用户启用宏

宏代码会通过powershell调用WebClient对象来下载一个文本字符串，然后保存为.png文件扩展，然后通过iex运行该文件。

图3 – 启动恶意软件感染的VBS脚本片段

该脚本含有不同的base64编码的垃圾数据，如图4所示。

图4 –伪造的PNG图像中base64编码的代码片段

反混淆后发现了C2的IP地址，该地址与下载整个脚本的IP地址是相同的。

图5 – 反混淆的C2 IP

标记为$jdH9C的第二个脚本片段是压缩的Gzip流对象。解码后研究人员发现可执行文件保存在内存流中：

图6 – 硬编码在伪造的PNG脚本中的DLL

对二进制文件的分析参见下一部分:DLL分析。

Base64代码是直接通过iex原语执行的。但是它调用的都是非库函数，即从之前引用的dll文件中加载的函数。

在脚本中，研究人员发现nvtTvqn可以收集关于受害者机器的信息。

图7 – 恶意软件窃取的信息

恶意软件窃取的信息包括：

· 系统信息

· 计算机IP地址

· 网络状态

· 运行的进程列表

· 可用的权限

· 用户名

· 域管理员

· 桌面的文件

· 计算机中安装的反病毒产品

另一个有趣的函数就是j2aYhH：

图8 – 恶意软件窃取的账户和邮件

函数j2aYhH会窃取受害者机器上注册的所有邮件账号。在代码中有一个函数CRIZ可用验证是否安装了Outlook客户端。

 图9 – 恶意软件搜索注册表key

DLL分析

Powershell脚本会使用从可执行文件中导出的函数。

 表3 – DLL信息

该文件是一个主要安全平台尚无记录的动态链接库。

图10 – Virus Total中的DLL结果

该库嵌入了运行在.NET框架上的MSIL代码，所以可用直接恢复源码。

图11 –DLL的静态分析

提取的代码含有用于多个功能的实用函数，比如生成伪随机的安装路径。

图12 –DLL中的函数源码

实际上函数kaYchi会接手3个参数，分别是id, status, post，可用创建.asp和jpg两种扩展的文件，如果post参数为true就创建.asp扩展的文件，否则就创建.jpg扩展的文件。

图13 –生成.asp或.jpg扩展的文件来写入/发送受害者信息到C2的函数

研究人员分析时C2服务器(162.244.32.180)已经下线了。

恶意软件会尝试从C2下载其他组件，并用iex原语执行。

最近的DNS活动是在2018年12月。目前多个安全社区已经将该IP地址标记为恶意的了。该IP地址位于美国。

图14 –C2的DNS

图15 – C2的关系图

域名zosmogroel.com截止2018年12月18日还是活跃的，研究人员还发现了一个与SHA-1签名98b637715fa6429a60eed9b58447e967bf7e1018相关的证书。

图16 – zosmogroel.com证书

该签名与超过80个IP地址相关，进一步分析发现这些IP地址过去被其他恶意软件样本用作dropurl。

分析的样本是AdvisorsBot，最早是2018年8月23日由Proofpoint分析的，研究人员也在公共沙箱上发现了一些证据，远程C2 162.244.32.180在去年8月以SHA256 030531a784f72f145bef98a3240283da88fe623904c066be179fbbe3a9150c48传播了Ursnif/Gozi变种162.244.32.180/yak0810.exe。最后的证据说明该基础设施也被用来传播其他恶意软件。

结论

研究人员发现恶意软件威胁图谱中感染向量排名第一的是通过邮件传播的武器化的office文档，排第二的是滥用DDE协议的CVE-2017-11882。其中一个原因是宏恶意软件并不依赖性价比不高的0 day漏洞利用，而且使用多层混淆技术，可以绕过终端安全解决方案。许多APT组织都使用鱼叉式钓鱼邮件和武器化的office文档作为附件。类似的攻击向量也出现在APT28的攻击活动中。

Cybaze-Yoroi ZLAB研究人员建议用户一般情况下不要启用宏，而且要深入检查邮件的来源。