“双子星”文档攻击预警 – 新型的跨系统恶意文档攻击研究报告

最近，360公司焦点安全部QEX团队和追日团队发明了一种新型的跨平台歹意文档进击开端风行，并捕捉到了该进击在田野呈现的歹意样本。该歹意文档支撑跨平台进击，应用了白应用、无文件和windows平安战略绕过等高端进击技能。以往的office文档只针对windows操纵体系和苹果操纵体系分离停止进击，而最新的进击样本兼容了两个操纵体系，用户不管是在哪一个体系关上这个文档，都有能够中招,咱们将其命名为“双子星”文档进击。

图1

进击影响阐发

进击影响安装了office软件的MacOS和windows体系，今朝田野呈现了大批歹意样本，暂未呈现大规模应用的环境。

进击情势阐发

进击者应用OFFICE软件的宏功效提议进击，宏功效一样平常用作批量处置办公文档，因为其强大的功效也被黑客应用制造歹意文档，但OFFICE软件的宏功效在MacOS上其实不被人存眷，这个功效在MacOS上也能优越运作。宏功效是默许封闭的，但仍旧会有运转平安提醒，用户关上文档后，大都会疏忽平安提醒，间接运转宏招致中招。

图2

图3

新型office歹意样本技能阐发

经由过程对捕捉样本阐发，咱们发明样本应用宏内建的预界说语法对mac和windows平台停止兼容。

MAC进击阐发

如果是mac平台，则经由过程一行shell剧本履行代码，歹意样本就会从本身界说的文档属性M值中读取事后写好的url。

图4

而后应用curl 下载歹意代码，经由过程管道符传递给Python解释器履行。

图5

因为mac的体系环境内置了python法式，今朝这类应用一句话shell剧本履行Python歹意代码的荷载进击方法，在mac平台上异常风行。

图6

windows进击阐发

如果是windows平台，歹意样本起首会肯定处置器构架是X86 照样 X64

图7

而后从文档属性中读取事后筹备好的数据

图8

图9

数据其实是2个紧缩率为0的zip包，解压后为2个PE，分离对应X86和X64构架应用

图10

为创立的新过程设置父过程为Explorer.exe

图11

以后版本应用筹划义务来履行开释的PE文件

图12

并继承从事后设置的文档属性中读取数据，来设置装备摆设筹划义务描写信息

图13

图14

筹划义务增加实现后，将受害者机械信息经由过程post哀求前往给节制端。

图15

数据包以下。

图16

平安措施绕过及攻防阐发

该样本的履行应用了InstallUtil.exe来启动 .net 的dll文件，该技能通常用于绕过applocker 等极端严苛的白名单限定对象战略，同时该样本还应用了x86和x64的两套.net 的dll适配分歧体系环境。

图17

从履行的敕令行中获得UpdateServer和 ID 的参数作为变量，而后挪用GetFile函数从长途网页中获得查找信息，应用内置的key，挪用Crypt函数解密获得的shellcode，末了挪用Inject函数在本身内存中履行shellcode。

图18

GetFile函数从网页中婚配正则表达式“‘showandtell’>(.*?) ，把获得到的数据用base64解码前往，远控平台支撑设置装备摆设成https格局的而且验证证书有效性，能够障碍平安工程师排查阐发。

图19

图20

图21

解密shellcode的Crypt函数

图22

履行shellcode的Inject函数

图23

荷载样本联系关系阐发

从样本中咱们提取发明了一行pdb信息：

经由过程pdb开辟信息，咱们推想该样本是经由过程Throwback天生的远控平台的一部分，Throwback是silentbreaksecurity在DEF CON黑客大会 22届的时刻地下的应用信标式后门法式(beaconing backdoor)，地下的版本是三年前的版本，信任在这三年中这个后门也在退化和增加新的功效，windrop应当便是此中增加的一个新的模块。该样本的C&C和荷载URL于2016年就开端被大批用于进击，最近的进击呈如今8月24日。

图24

总结

依据以上技能阐发，该样本应用的攻防技能比拟高端，只在小范围内停止定向进击测试，但不消除将来会被用于大规模进击，针对此新型进击的样本，360平安卫士已在第一时间跟进查杀，请PC用户和MAC用户同时提高警惕，不要关上来路不明的office文档，并应用360平安卫士进攻能够的进击。