欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

攻击者借助Office漏洞传播FELIXROOT后门

来源:本站整理 作者:佚名 时间:2018-07-30 TAG: 我要投稿


一、攻击活动细节
2017年9月,在针对乌克兰的攻击活动中FireEye发现了FELIXROOT后门这款恶意载荷,并将其反馈给我们的情报感知客户。该攻击活动使用了一些恶意的乌克兰银行文档,其中包含一个宏,用来下载FELIXROOT载荷并将其投递给攻击目标。
最近FireEye观察到有新的攻击活动中用到了同样的FELIXROOT后门。在这次攻击活动中,武器化的诱骗文档涉及到与环境保护研讨会相关的话题,利用了两个已知的Microsoft Office漏洞(CVE-2017-0199以及CVE-2017-11882)来将后门程序释放到受害者主机上并加以执行,攻击活动流程图如图1所示。

图1. 攻击流程图
恶意软件借助俄语文档(如图2所示)进行传播,文档用到了已知的Microsoft Office漏洞利用技术。在此次攻击活动中,我们观察到攻击者利用CVE-2017-0199以及CVE-2017-11882漏洞来传播恶意软件。所使用的恶意文档名为“Seminar.rtf”,文档利用CVE-2017-0199漏洞从193.23.181.151这个地址处(如图3所示)下载第二阶段所使用的攻击载荷,所下载的文档包含了CVE-2017-11882漏洞利用技术。

图2. 诱饵文档

图3. Seminar.rtf文档中的URL信息(十六进制数据)
图4表明第一个载荷正尝试下载攻击第二阶段所使用的Seminar.rtf。

图4. 下载第二阶段所使用的Seminar.rtf
下载的Seminar.rtf文档中包含一个二进制文件,通过公式编辑器将可执行文件释放到%temp%目录中。该文件将可执行文件释放到%temp%目录(MD5:78734CD268E5C9AB4184E1BBE21A6EB9),后者用来下载并执行FELIXROOT释放器组件(MD5:92F63B1227A6B37335495F9BCB939EA2)。
释放出来的可执行文件(MD5:78734CD268E5C9AB4184E1BBE21A6EB9)在PE(Portable Executable)覆盖区中包含经过压缩处理的FELIXROOT释放器组件。当该文件被执行时会创建两个文件:指向%system32%\rundll32.exe路径的一个LNK文件以及FELIXROOT加载器组件。LNK文件会被移动到启动目录中。LNK文件中包含用来执行FELIXROOT加载器组件的命令,如图5所示:

图5. LNK文件中包含的命令
内置的后门组件使用了自定义加密算法进行加密。该文件会直接在内存中解密并执行,不涉及到落盘操作。
 
二、技术细节
成功利用漏洞后,释放器组件会执行并释放加载器组件。加载器组件借助RUNDLL32.EXE来执行。后门组件会被加载到内存中,只包含一个导出函数。
后门中包含的字符串经过自定义的加密算法进行加密处理,加密算法为XOR(异或)算法,采用了4字节的密钥。ASCII字符串对应的解密逻辑如图6所示。

图6. ASCII解密过程
Unicode字符串的解密逻辑如图7所示。

图7. Unicode解密过程
执行起来后,后门会创建一个新的线程,然后休眠10分钟,接着确认自身是否由RUNDLL32.EXE使用#1参数启动,如果条件满足,则后门会在执行命令与控制(C2)网络通信操作之前先进行初始的系统信息收集。为了收集系统信息,后门通过ROOTCIMV2命名空间连接到Windows Management Instrumentation(WMI)。
整个操作过程如图8所示:

图8. 后门组件初始执行流程
从ROOTCIMV2及RootSecurityCenter2命名空间中引用的类如表1所示:
WMI命名空间
Win32_OperatingSystem
Win32_ComputerSystem
AntiSpywareProduct
AntiVirusProduct
FirewallProduct
Win32_UserAccount
Win32_NetworkAdapter
Win32_Process
表1. 引用的类
WMI及注册表
用到的WMI查询语句如下所示:
SELECT Caption FROM Win32_TimeZone
SELECT CSNAME, Caption, CSDVersion, Locale, RegisteredUser FROM Win32_OperatingSystem
SELECT Manufacturer, Model, SystemType, DomainRole, Domain, UserName FROM Win32_ComputerSystem
后门会读取注册表相关键值信息,收集管理员权限提升信息及代理信息。
1、查询SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem路径中的ConsentPromptBehaviorAdmin及PromptOnSecureDesktop表项值;
2、查询SoftwareMicrosoftWindowsCurrentVersionInternet Settings路径中的ProxyEnable、Proxy:(NO)、Proxy及ProxyServer表项值。
FELIXROOT后门的功能如表2所示。每条命令都会在独立的线程中执行。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载