欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

基于SYLK文件传播Orcus远控木马样本分析

来源:本站整理 作者:佚名 时间:2018-04-03 TAG: 我要投稿

0×01 背景
近日,腾讯反病毒实验室发现一例利用符号链接文件(SYLK文件)传播远控Orcus远控木马的攻击样本,黑客使用SYLK文件做为初始攻击载体,在SYLK文档中使用DDE加载powershell进而加载Orcus远控木马执行。对大多数用户来说,SYLK文件都很陌生,SYLK文件为微软的一种数据文件,默认由Excel程序加载,使用SYLK文件做为初始攻击载体在很大程度上可以躲避安全软件的查杀,至本文发稿,该样本仍未被腾讯电脑管家之外的各大安全厂商查杀。
黑客利用该样本的典型的攻击场景为:将免杀的SYLK恶意文档做为附件对目标用户进行钓鱼攻击,诱导用户执行进而控制用户的计算机系统;利用水坑攻击,将SYLK恶意文档替换用户信任站点的下载链接,等待用户主动下载执行。
整个样本的攻击流程过程如下所示。

在这起攻击事件中,有两点值的关注:
1.      大多数的安全厂商在自己杀毒引擎中都有对doc、xls等常见文档的格式解析功能,但对于不常见的文档结构类型(如本例中的SYLK文档结构)重视不够,没有实现对这类文档的解析功能模块,因此导致这类文档中的恶意代码无法杀毒引擎正确识别查杀。
2.      从样本编译时间戳来看,loader样本于2018年3月22日完成,Orcus远控木马样本于2018年3月24日生成,该样本时间较新,黑客们最近已经尝试出这类的免杀手段,以后使用该手段的恶意样本的可能会出现一定程度的增长。
因此,本文将对该类样本进行详细分析,供安全社区共享,共同提高安全能力,保护个人、企业、机关等用户的计算机安全。
0×02 样本分析
2.1 SYLK文件
原始样本文件名为K*****.slk,.slk后缀名为SYLK文件后缀。符号链接(SYLK)是Microsoft的一种文件格式,通常用于在应用程序(特别是电子表格)之间交换数据。SYLK文件的后缀名为.slk。该格式的文件由可显示的ANSI字符组成,即使创建SYLK文件的应用程序支持UNICODE,SYLK 文件在系统中也会以ANSI编码。
使用010edit打开文件后显示如下:

第一行的ID;PWXL;N;E申明了文档格式,P开头的行表示了不同的样式,在安装office的情况下,SYLK文件默认由EXCEL程序打开。
默认打开时,EXCEL会弹出下面的安全提示,如果用户此时点击禁用,还可免受攻击威胁。

当用户点击了启用后,OFFICE软件会提示”远程数据不可访问”对话框,同时给出了只有信任该数据时再点击是按钮,防止合法应用程序被病毒恶意利用。

再次点击是按钮后,恶意的powershell就会得以执行,此后,再无需用户的交互,机器就已经被黑客完全控制。
运行时的进程树如下:

观察原始的SYLK文件,可以在153行的内容看到恶意代码:

153行代码的含义为在单元格中使用公式加载DDE,使用“\..\..\..\Windows\System32\cmd.exe”加载powershell执行。执行的命令为:
对下载回来的Formules.exe进行分析
2.2 Formules.exe分析
Formules.exe充当了混淆壳的功能。Formules.exe使用.NET编写,在dnspy中显示代码经过混淆,混淆的效果如下:

Formules.exe资源中保存着114张图片,Formules.exe最终会从这些图片中解码出PE数据。资源截图如下:

Formules.exe将自身代码在内存中解码出来后,dump出来后可以看到还原后的代码。从还原后的代码可以看到,在Main函数中调用Resources解码资源后,调用Form1执行,在Form1的初始化中直接调用Form1的close方法,在Form1的close方法中才真正的加载解码出来的Multi.exe执行,Multi.exe本身为一个loaderPe程序,用来加载最终的远控木马。
上面描述的过程从代码层面看,Main函数调用Application.Run(new Form1());

在Form1的Load方法中调用了Resources.Class9.smethod_1,而Resources.Class9.smethod_1又会调用Form1的close方法。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载