运用AutoHotkey和Excel中嵌入的歹意脚正本绕过检测 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

运用AutoHotkey和Excel中嵌入的歹意脚正本绕过检测

申博_安全预警 申博 139次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

Trend Micro研究人员发明一个运用正当剧本引擎AutoHotkey和歹意剧本文件的进击运动。该文件以邮件附件的情势流传,并伪装成正当文件Military Financing.xlsm。用户须要启用宏来完整翻开文件,运用AutoHotkey来加载歹意剧本文件以绕过检测。然后歹意软件会盗取特定的信息,以至下载TeamViewer来猎取对体系的长途接见权限。

若是用户启用宏来翻开xlsm文件,就会正当的剧本引擎AutoHotkey和歹意剧本文件。一旦AutoHotkey加载歹意剧本文件,歹意软件就会连接到C2服务器来下载和实行其他剧本文件来相应来自服务器的敕令。研究人员发明歹意软件末了会下载和实行TeamViewer来猎取体系的长途接见权限。会依据来自C2服务器的敕令来下载和实行其他剧本文件。

运用AutoHotkey和Excel中嵌入的歹意脚正本绕过检测

图1. 进击链

Excel文件

附件excel文件问题为Foreign Military Financing (FMF),是以美国国防平安协作署的一个项目定名的。封面的内容是为了让用户启用内容以接见秘要信息。

运用AutoHotkey和Excel中嵌入的歹意脚正本绕过检测

图2. Excel文件的内容

看起来该excel文件只要一个添补的sheet表。但如图2所示,个中有一个名为“ ”(空格)的sheet表。

运用AutoHotkey和Excel中嵌入的歹意脚正本绕过检测

图3. 隐蔽的第二个sheet中的十六进制字符串

一旦用户启用宏,就会经由过程十六进制字符串开释2个文件。这些十六进制字符串是用白色字体写的,以是看起来彷佛这些列是空缺的。开释的文件包孕:

· X列的内容:C:\ProgramData\AutoHotkeyU32.exe (正当的AutoHotkey可实行文件)

深切明白Glibc堆的完成(上)

在阅读本文之前,建议大家先读一下这篇文章,其中讨论了一个过时的但很重要的内存损坏漏洞,我将之称为“堆栈缓冲区溢出”。除此之外,我还假设如果我作为攻击者如何利用这些漏洞来控制远程程序并使其运行恶意shellcode。 在测试中,我发

· Y列的内容:C:\ProgramData\AutoHotkeyU32.ahk (进击者建立的用于AutoHotkey的歹意剧本)

歹意字符串和AutoHotkey滥用

依据剧本文件,AutoHotkey会分派一个hotkey或实行剧本文件中的恣意历程。在本例中,剧本文件AutoHotkeyU32.ahk并没有分派热键,而是会实行以下敕令:

· 在开始菜单中为AutoHotkeyU32.exe建立一个链接文件,许可进击在体系重启后继续举行;

· 每10秒钟连接到C2服务器来下载、生存和实行含有敕令的剧本文件;

· 发送C盘的卷序号,进击者以此来辨认受害者。

 运用AutoHotkey和Excel中嵌入的歹意脚正本绕过检测

图4. AutoHotkeyu32.ahk局部代码

运用AutoHotkey和Excel中嵌入的歹意脚正本绕过检测

图5. 样本C2相应

当进击者经由过程C2发送与图5类似的相应时,剧本文件会将十六进制字符串转变为明文,翻译为URL“001::hxxp://185.70.186.145/7773/plug/hscreen.ahk”。然后从该URL下载ahk文件(hscreen.ahk),以随机文件名生存在%temp%文件夹中,末了经由过程AutoHotkeyU32.exe加载并实行。

研究人员进一步剖析发明了进击中其他开释的文件。这些文件许可进击者猎取盘算机名并举行截图。个中一个文件能够下载TeamViewer,进击者能够应用该软件来长途控制体系。

研究人员还没有弄清楚进击者的实在企图。但研究人员从其收集监控才能、流传讹诈软件和加密泉币挖矿机的潜伏才能,推想以为这是一同有目的的进击运动。

总结

在大多数进击运动中,用户能够接纳多层防备步伐和减缓协定来检测和应对入侵运动。用户能够经由过程加强设置,尤其是对含有宏的歹意软件附件举行检查,由于这类进击都是从未知泉源来下载文件、然后启用宏。

深切明白Glibc堆的完成(上)

在阅读本文之前,建议大家先读一下这篇文章,其中讨论了一个过时的但很重要的内存损坏漏洞,我将之称为“堆栈缓冲区溢出”。除此之外,我还假设如果我作为攻击者如何利用这些漏洞来控制远程程序并使其运行恶意shellcode。 在测试中,我发


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明运用AutoHotkey和Excel中嵌入的歹意脚正本绕过检测
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址