欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

浅析如何通过一个PPT传递恶意文件

来源:本站整理 作者:佚名 时间:2017-06-07 TAG: 我要投稿

本文介绍一种新的恶意下载者,通过PPT传递恶意powershell脚本,可直接通过鼠标悬停事件触发。
0x01 分析
这个PPT文档很有趣。首先这个文档不依赖宏、Javascript或者VBA来作为执行方式。这意味着这个文档不符合常规的利用方式。当用户打开文档,呈现文本“Loading…Please wait”,其对用户来说是一个蓝色的超链接。当用户悬停鼠标到文本之上(很常见的用户检测超链接的方式)将导致执行Powershell。这通过在悬停操作中定义一个元素实现。这个悬停操作是为了当用户鼠标悬停在文本时在PowerPoint中执行一个程序。在slide1的资源定义中,“rID2”被定义为一个超链接,其目标是PowerShell命令。由于它的长度,在下面一步步的截图中可以看到它。
当PowerShell执行时,会从域名“cccn.nl”得到c.php文件,下载它,以“ii.jse”为名称保存在临时目录中。它能通过wscript.exe执行,然后释放出一个文件“168.gop”,然后以-decode为参数执行certutil.exe。certutil.exe将168.gop解码,在临时目录保存为484.exe。然后执行484.exe,它会启动mstsc.exe允许RDP访问系统。484.exe之后被mstsc.exe重命名保存到AppData\Roaming\Microsoft\Internet Explorer\sectcms.exe,然后在新目录重新执行。一个bat文件被写到磁盘。这个bat文件的目的似乎是改变sectcms.exe为隐藏属性(系统文件且只读)。它还会删除临时文件夹下的所有的.txt/.exe/.gop/.log/.jse文件。我在沙箱中执行了8小时,但是没有等到攻击者连接系统。因此我不能看见后门的其他目的。
截图分析:
打开文档的呈现文本:

当悬停文档时的警告消息:

如果用户允许了,将显示下面的PowerShell提示,并很快隐藏:

下面是我为了测试PowerShell是否感知代理修改的callout——通过在PowerPoint Slide中编辑XML文件:

下面是Slide1元素中定义的rID2元素,很明显看到Powershell命令作为超链接的目标:

下面是Slide1 XML。红色高亮部分表示怎么定义悬停动作:

Sysmon 截图分析:
PowerPoint初始打开时的Sysmon日志:

Sysmon记录的PowerShell命令的执行:

恶意的payload的初始进程创建:

Mstsc.exe的进程创建之后,用于RDP访问系统:

原始payload进程的终结:

原始payload的文件拷贝。重命名为sectcms.exe和在AppData文件夹下隐藏:

新移动的payload的再次执行:

在临时文件夹中创建bat文件:

通过cmd.exe执行bat文件。执行源是mstsc.exe:

Bat的一个功能是添加隐藏、系统和只读属性:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载