背景

Yoroi CERT分析人员发现了多起针对意大利海军及国防工业的攻击。一切都是从一封精心设计的电子邮件开始的，收件人是海军办公室，询问海军发动机备件价格。该邮件思路清晰、语言严谨，详细介绍了与真实发动机部件相匹配的发动机备件。该电子邮件还向受害者提供了两个附件：

公司简介，详细介绍了询问备件价格的公司；

一个Microsoft.XLSX，其中是可用的发动机备件列表。

攻击者要求受害者提供电子表格中所有备件的报价，因此，受害者需要打开附件中的Microsoft电子表格，以便满足“假客户”的需求。只要打开这个Excel文件，电脑就会被感染。

恶意邮件

最初截获恶意邮件的发送者地址为“markvanschaick.nl @qixnig .com”。攻击者选取这个名字是想利用荷兰海事服务公司“Mark Van Schaick”的声誉，但发送者的域名和IP地址却未显示出与该机构之间存在联系。

信息托管在lord. vivawebhost .com (173.237.190.12 COLO4-BLK7 US)上，从配置网页邮件服务器发送，与发送者的域名毫不相干，而且“qixnig .com”（发送者域名）解析到一个不同的IP地址 66.45.243.148 (INTERSERVER US)。有意思的是其精心制作的重定向地址可让任何访客访问：一个 HTTP 301 代码重定向到了丹海集团官网端口。

重定向到丹海网页端口

第二封邮件稍有不同，是来自另一个托管在mail.dbweb .se (52.58.78.16 AT-88-Z US)的配置网页服务：

在该案例中，假冒通信进程模拟的是“Naviera Ulises Ltd 的<[email protected]>”“Evripidis Mareskas 的<supplies.ulisnav @ kiramko .com>”之间的互动。所提取的域名为“kiramko .com”解析到了与第一次波行动(“qixnig .com”, 66.45.243.148 INTERSERVER US）相同的远程IP地址：这些行动可视为密切关联。“ulisnav .gr”在成稿时尚未注册。

截获邮件里有一个精心准备的钓鱼机制，特别针对意大利海军部门。题头和网络背景显示的是攻击者试图扮演海军配件商和海军人物，目的是引诱感染者打开附件。

比如说，前两次发现的是模仿丹海集团（中国）的询价，还将域名伪装成由该公司明确拥有的域名“qixnig .com”。之后尝试将访问者重定向到丹海集团的官方网站。另一次截获邮件是瑞典Naviera Ulises Ltd的技术支持和其中一个雇主（其领英公开可见）的假冒通信内容。

这些通信内容没有一个真实合法，但所截获数据也确实不能说明攻击者获得了任何资产。

分析

让我们深入了解该文件，看看有什么。乍一看，该文档在OleObj.1和OleObj.2上有加密内容，其中加密的有效负载位于“EncryptedPackage”，有关如何解密它的信息可在“EncryptionInfo”xml描述符上获得。但是，在那段时间，EncryptionInfo持有加密算法和有关有效负载的附加信息，但没有提供密钥。这是一个严肃的问题，如果最终用户不提供密码，Microsoft Excel如何解密此类内容？换句话说，如果不知道密钥的受害者打开文件，他如何被感染？如果受害者无法打开它，攻击者又为何会使用加密的有效载荷？

Stage1: 加密内容

使用加密的有效负载是规避防病毒软件的常用方法，因为加密的有效负载会根据使用的密钥而变化。但密钥是什么？

在Microsoft Excel上可以用“只读”的方式打开文档。在“只读”模式下，加密文件也能被打开。只有当用户想要保存、打印或修改内容时，Microsoft Excel才会询问解密密钥。在这种情况下，可以使用特殊的静态密钥来解密“只读”文档。研究人员尝试用这个“密钥”来解密内容，下图显示了一个全新的阶段，其中有效提取的xlsx文件中含有的对象更多，将其定义为Stage2。

Stage2

对Stage2的快速分析揭示了一个新的对象包含（如图2所示）。该对象于2018年10月9日被制作，但仅在2018年10月12可见。此时，提取的对象是明文，并且根本找不到加密的内容。下图显示了Stage2中提取的对象。

Stage2: 提取的有效负载

不难看出有效载荷的作用（CVE-2017-11882），但如果你在动态引擎上运行它，它会更有效。有效载荷通过生成公式编辑器，删除并执行外部PE文件来利用CVE-2017-11882。研究人员将公式编辑器定义为Stage3。下图显示了由EquationEditor执行的与删除网站的链接。

Stage3：公式编辑器生成并链接到Dropping URL

解析的内容在下面的图像中，其中有EquationEditor网络跟踪，至此Stage4应运而生。GEqy87.exe（Stage4）是一个常见的Windows PE。它被放置在一个不常见的文件夹（js / jquery / file / … ）中，点击它会进入一个受损的专题网站。把它放在这里有两个目的：（a）未配置的IDS绕过（b）将恶意软件隐藏到众所周知且受信任的文件夹中，以便在网站升级时幸存下来。

Stage4

调查GEqy87后清楚发现该样本隐藏在一个额外的PE窗口里。一方面，它通过运行解密循环直接在内存上构建新的PE。另一方面，它将0xEIP激活到预先分配的内存部分，以便到达新的可用代码部分。

Stage5:隐藏在 GEqy87.exe里的Windows PE

Stage5上部署了许多逃避技巧，如GetLastInputIn、 SleepX和GetLocalTime， 以欺骗调试器和沙箱。它使检查时的显式日期控制为0x7E1（2017）。如果当前日期小于或等于2017，则跳过对其真实行为的检查，而如果当前日期大于2017，例如2018，则它通过调用“0xEAX”（典型控制流重定向）来掩盖其行为。

附件

截获得电子邮件中包含多个附加文件：第一次电子邮件恶意活动中，我们发现了两个相同的Excel文件的副本（5c947b48e737648118288cb04d2abd7b），这两个文件包含CDFV2加密数据。此文档可以从被攻击的web门户上下载可执行的有效负载（66b239615333c3eefb8d4bfb9999291e）：

截获的恶意软件下载HTTP请求

恶意Excel文档

第二次攻击的附件是Excel文件副本和另一个名为“Company profile.pdf”的PDF文档（6d2fc17061c942a6fa5b43c285332251），此文件似乎是在进行网络钓鱼尝试的同一时间段内生成的：MS Word 2013文档发送恶意消息的30分钟前。

 “Company Profile.pdf”元数据

嵌入式附件已于10月中旬使用多个名称交付，其中大多数名称与海军工业相关，其中包含机械部件的报价、询价或订单等资料。

提交时间和样本名称

话说回来，现在可以解释将这次活动命名为“MartyMcFly”的原因：名称来自VT平台报告中的“Wild In First Seen in the Wild ”值以其中的元数据。

有效载荷

可执行的有效载荷已经从一个可能受到侵害的网站下载，该网站由一家销售机械备件的土耳其公司合法拥有，这表明攻击者已经仔细处理过恶意软件传播基础设施的主题化。

PE32文件66b239615333c3eefb8d4bfb9999291e包含从Delphi源代码（BobSoft Mini Delphi）编译过来的可执行二进制代码。

执行的第一阶段显示了几种反分析模式和技巧，例如在0x0045e304中，恶意软件会检查操作系统中配置的本地时间年份是否在2017之后，此外在0x045e393中，它通过SleepEx减慢代码运行速度。

当前本地时间检查

通过SleepEx减慢代码运行速度

绕过恶意代码中的所有调试检查和规避技巧会导致映射到0x012e0000位置的RWX代码段动态加载.NET模块。

解压后的可执行模块

Yara签名表明提取的PE32模块可归因于武器化版本的“QuasarRAT”：github上免费提供的开源远程管理工具。

.NET 模块上的Yara签名

下图中报告的手动验证确认提取的有效负载与github存储库上发布的QuasarRAT模块兼容。此外，下面的IoC部分报告了恶意软件配置中的C2服务器位置。

QuasarRAT使用的模块名和信息示例

目前无法将此次攻击归咎到现有组织头上，许多黑客选择使用或定制开源工具使其更难以被追踪。例如“Gorgon集团”就是如此，这个身份尚不明确的雇佣军团体就使用QuasarRAT发起网络犯罪攻击和针对政府的间谍活动。

威胁指标（IOC）

以下是分析过程中收集到的IOC列表：

Malspam

INQUIRY FOR Engine Requisition: Spare parts: Valves: Cylinder etc

“Mark Van Schaick Marine” <markvanschaick.nl @qixnig[.com>

Mark van Schaick Enquiry – Marine Parts, Valve, Cylinder ets..xlsx

Mark Van Schaick Company Profile.xlsx

“INQUIRY MJ1409-FWS-FBR-61 / 18092867Q1/ MARINE PARTS”

“Cherry dan” <cherry.dan-marine @ qixnig[.com>

Engine_9463.xlsx

List of order spares parts.xlsx

Company Profile.pdf

lord.vivawebhost[.com

mail.dbweb[.se

Dropurl

http://apexmetalelektrik[.com/js/jquery/ui/jquery/file/alor/GEqy87.exe

C2

secureserver.marinelectricsystems[.com:4783

safebridge.marinelectricsystems[.com:4783

neumeistermcntrade[.ddns[.net:4783

mcntradeandreas.ddns[.net:4783

79.172.242[.87:4783

哈希

a42bb4900131144aaee16d1235a22ab6d5af43407a383c3d17568dc7cfe10e64  xlsx

3b5bd3d99f1192adc438fb05ab751330d871f6ebb5c22291887b007eaefbfe7b pdf

1aa066e4bcc018762554428297aa734302cfbb30fef02c0382f35b37b7524a4a  exe