在2018年中旬发现了针对各种实体进行的鱼叉式网络钓鱼活动,其中被传播的恶意的RTF(Rich Text Format)文件中利用了三种不同的漏洞:CVE-2017-8570,CVE-2017-11882和CVE-2018-0802,并且此次攻击同时也利用了二进制文件msxsl(微软的xml语言解析器,用来解释xml语言的)来运行JScript后门程序。此次攻击与Cobalt组织之前的活动有许多相似之处。

 

攻击方式

鱼叉式网络钓鱼活动使用恶意RTF文档:
如果漏洞利用成功,则会打开一个诱饵文档:
通过查看文档中的OLE对象,可以看到一些有趣的属性(下个部分详细分析)。
打开文档后会进行一系列行为,主要归纳为:

恶意RTF文档对三个漏洞进行利用(CVE-2017-8570,CVE-2017-11882或CVE-2018-0802)
运行eqnedt32.exe(Microsoft公式编辑器)并在链中执行两个cmd.exe实例
cmd.exe实例使用DLL(dll.txt)启动regsrv32.exe,然后删除诱饵文档
加载的DLL执行以下操作:

创建一个XML文件

创建一个XSL文件

从磁盘中删除自身

创建JScript文件(用于持久性存在)

删除合法的MSXSL.exe副本

运行MSXSL,从新创建的XML和XSL文件中获取最后一个后门

 

第一阶段

漏洞被利用后,cmd.exe运行Task.bat:

ECHO OFF
set tp=”%temp%block.txt”
IF EXIST %tp% (exit) ELSE (set tp=”%temp%block.txt” & copy NUL %tp% & start /b %temp%2nd.bat)
del “%~f0”
exit

设置环境变量后,将启动第二个批处理文件,其任务是启动regsrv32.exe以加载dll.txt,清除临时目录、重新启动显示诱饵文档的winword。

为后门运行且可持久性运行设置正确环境,dll.txt会执行以下操作:

创建c:usersuserappdataroamingmicrosoftf4b3a452b6ea052d286.txt
创建c:usersuserappdataroamingmicrosoft7009b05a8c4dc1b.txt
创建c:usersuserappdataroamingmicrosoft12a0c3af5a631493445f1d42.js
删除c:usersuserappdataroamingmicrosoftmsxsl.exe executable, a Microsoft legitimate executable

在HKCUEnvironment中创建一个注册表项值,其值为“UserInitMprLogonScript”,数据为Cmd.Exe /C “%Appdata%Microsoft12A0C3AF5A631493445F1D42.Js(用于登录持久性脚本. ATT&CK TID: T1037)
DLL活动:
DLL的文件系统和注册表活动:
在生成cmd.exe实例后立即删除dll.txt并启动msxsl.exe,将删除的XML文件和XSL文件(包含后门代码)作为参数。
用于保持持久性存在的脚本:
值得注意的是这里使用了msxsl.exe,它是用于使用Microsoft的XSL处理器执行可扩展样式表语言(XSL)转换的命令行程序。可以使用此可执行文件来运行JScript代码:

C:UsersUserAppDataRoamingMicrosoftmsxsl.exe
“C:UsersUserAppDataRoamingMicrosoftF4B3A452B6EA052D286.txt”
“C:UsersUserAppDataRoamingMicrosoft7009B05A8C4DC1B.txt”

 

后门

后门是用JScript编写的,它能够执行以下操作:
通过wmi和其他Windows工具进行检测
使用cmd.exe运行可执行文件
使用regsvr32.exe加载DLL文件
下载并运行新脚本
删除自身
检查AntiVirus软件
使用RC4的js实现进行c2通信
任何类型的脚本都可以由此后门运行,因此它所可以造成的恶意后果是不可估量的。样本会检查不同的防病毒软件,并且将用户信息发送回C2服务器,以便向恶意控制者传递消息以避免触发杀软警报。
我们在广告中找到的C2地址是:https://mail[.]hotmail[.]org[.]kz/owalanding/ajax[.]php
它似乎是在1994年注册在哈萨克斯坦的主机名,这个古老的服务器可能被恶意者攻击并被用做了远控C2。
攻击链的第二阶段似乎与2017年11月份确定的一项活动相同,可能均来自于Cobalt组织,但他们攻击的第一阶段完全不同,有可能是一个新的漏洞利用工具包Threadkit。而后门的代码与TrendMicro在2017年8月分析的代码看起来非常相似。2018年3月版和2017年8月版共有的命令如下:
more_eggs: 用于下载新脚本
d&exec: 用于运行可执行文件
gtfo: 用于终止实例并执行清理
more_onion: 用于运行新脚本
已经更新过的系统无需在意此次攻击,但未更新的系统应监视下面发布的IOC以及异常行为,例如从临时文件夹运行的msxsl或加载未知模块的regsvr32.exe。

 

IOC

• malicious RTF (DOC00201875891.doc): db5a46b9d8419079ea8431c9d6f6f55e4f7d36f22eee409bd62d72ea79fb8e72
• msxsl.exe (legitimate, dropped): 35ba7624f586086f32a01459fcc0ab755b01b49d571618af456aa49e593734c7
• JS persistence: 710eb7d7d94aa5e0932fab1805d5b74add158999e5d90a7b09e8bd7187bf4957
• XSL JS backdoor: 6a3f5bc5885fea8b63b80cd6ca5a7990a49818eda5de59eeebc0a9b228b5d277
• XML: dbe0081d0c56e0b0d7dbf7318a4e296776bdd76ca7955db93e1a188ab78de66c
• task.bat: 731abba49e150da730d1b94879ce42b7f89f2a16c2b3d6f1e8d4c7d31546d35d
• 2nd.bat: 33c362351554193afd6267c067b8aa78b12b7a8a8c72c4c47f2c62c5073afdce
• decoy document: 1ab201c1e95fc205f5445acfae6016679387bffa79903b07194270e9191837d8
• regsvr32 DLL: 0adc165e274540c69985ea2f8ba41908d9e69c14ba7a795c9f548f90f79b7574
• inteldriverupd1.sct: 002394c515bc0df787f99f565b6c032bef239a5e40a33ac710395bf264520df7
• C2: mail[.]hotmail[.]org[.]kz/owalanding/ajax.php
• IP (at the time of writing): 185.45.192.167

文章原文链接:https://www.anquanke.com/post/id/159316