三起应用ODT文件花样绕过杀毒引擎的进击案例剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

三起应用ODT文件花样绕过杀毒引擎的进击案例剖析

申博_安全防护 申博 74次浏览 已收录 0个评论

以macOS.GMERA恶意软件为例,揭秘macOS环境下行为检测的原理及优势

概述 上周,Trend Micro的研究人员在野外发现了一个新型的macOS恶意软件,该恶意软件会对真正的股票交易应用程序进行欺骗,开启后门,并运行恶意代码。在本文中,我们主要分析该恶意软件的工作原理,并以这一恶意软件为示例,讨论不同的检测和响应策略,特别重点说明在macOS上进行行为检测的原理和优势。 GMERA恶意软件概述 首先,让我们看一下这个新型macOS恶意软件的技术细节。 研究人员最初发现了两个变种,并将其识别为GMERA.A和GMERA.B。在本文中,我们将重点

近期,思科Talos观察到运用Office运用程序的开放文档花样(OpenDocument,ODT)来绕过防病毒引擎的进击行为。ODT是一个ZIP存档,个中包括Microsoft Office等软件运用的基于XML的文件。

杀毒引擎每每将ODT文件视为规范归档文件,而且没有运用与Office文档雷同的划定规矩,别的另有一些沙箱也没法剖析ODT文档,由于它被认为是归档文件,而且沙箱不会以Microsoft Office文件的情势翻开它,因而进击者能够运用ODT文件来通报一般会被传统杀毒软件阻挠的歹意软件。

我们只找到几个运用这类文件花样的示例。大多数运用歹意文档的运动依然依赖于Microsoft Office文件花样,然则这些案例表明,在将来运用ODT文件花样举行进击的成功率更高。在这篇文章中,我们将引见三种运用OpenDocument的状况。前两个案例针对的是Microsoft Office,而第三个案例只针对OpenOffice和LibreOffice用户。我们如今还不晓得这些样本是进击者用于测试照样出于一些特定的歹意目的。

案例研讨1:带有OLE对象和HTA剧本的ODT

第一起案例运用了带有嵌入式OLE对象的歹意ODT文档,用户必需单击提醒才实行嵌入对象。如下图所示,进击者同时了针对说阿拉伯语和英语的用户。

三起应用ODT文件花样绕过杀毒引擎的进击案例剖析

两种状况下,OLE对象都邑布置了一个HTA文件并实行:

三起应用ODT文件花样绕过杀毒引擎的进击案例剖析

两个HTA剧本都从ttop4top[.]net上下载一个文件,该网站是一个盛行的阿拉伯文件托管平台:

三起应用ODT文件花样绕过杀毒引擎的进击案例剖析

下载的文件都是一个长途管理工具(RAT)。就阿拉伯语而言,payload是NJRAT歹意软件,C2服务器是amibas8722[.]ddns[.]net,指向阿尔及利亚ISP:

三起应用ODT文件花样绕过杀毒引擎的进击案例剖析

就英语而言,其payload是RevengeRAT,C2服务器隐藏在portmap平台(wh-32248[.]portmap[.]io)中。 PE存储在注册表中,并运用计划任务和PowerShell剧本实行:

三起应用ODT文件花样绕过杀毒引擎的进击案例剖析

案例2:带有OLE对象和嵌入式歹意软件的ODT

在这类状况下,ODT文件还包括一个OLE对象:

$ unzip -l 80c62c646cce264c08deb02753f619da82b27d9c727e854904b9b7d88e45bf9e
Archive:  80c62c646cce264c08deb02753f619da82b27d9c727e854904b9b7d88e45bf9e

Length      Date    Time    Name
---------  ---------- -----   ----

39  1980-01-01 00:00   mimetype
1540  1980-01-01 00:00   settings.xml
805  1980-01-01 00:00   META-INF/manifest.xml
1026  1980-01-01 00:00   meta.xml
491520  1980-01-01 00:00   Object 1
17784  1980-01-01 00:00   ObjectReplacements/Object 1
3354  1980-01-01 00:00   content.xml
6170  1980-01-01 00:00   styles.xml

---------                     -------
522238                     8 files

一样,此文档须要用户交互。OLE实即将不法二进制文件“ Spotify.exe”写入受益机械,这个. net二进制文件紧缩了作为资本存储的新二进制文件。新的PE包括大批差别的封装器,比方Goliath,babelfor.NET和9rays。

三起应用ODT文件花样绕过杀毒引擎的进击案例剖析

一切层解压后,终究的payload为AZORult。我们能够在终究的二进制文件中看到它的典范字符串:

三起应用ODT文件花样绕过杀毒引擎的进击案例剖析

如何攻破PDF加密

为了确保机密性,PDF文件是加密的。通过加密可以在没有其他保护机制的情况下,实现敏感文件的安全传输和存储。 发送者和接收者之间的密钥管理是基于口令或公钥的。如果是基于口令的,那么接收者必须知道发送者所使用的口令,或者口令必须通过安全通道来进行传输。如果是基于公钥的,那么发送者必须知道接收者的X.509证书。 安全问题 研究人员分析发现的pdf安全问题包括: 在没有对应口令的情况下,攻击者可以处理加密的pdf文件。PDF规范说明中允许明文和密文混合使

案例研讨3:StarSuite Basic的ODT

此次的进击目的是针对OpenOffice和LibreOffice而不是Microsoft Office。进击者在StarOffice Basic中运用了Microsoft Office文档中的宏。StarOffice Basic的代码位于ODT存档中的Basic/Standard/ repository:

$ unzip -l 525ca043a22901923bac28bb0d74dd57
Archive:  525ca043a22901923bac28bb0d74dd57

Length      Date    Time    Name
---------  ---------- -----   ----
0  2019-08-19 12:53   Thumbnails/
728  2019-08-19 12:52   Thumbnails/thumbnail.png
10843  2019-08-19 12:52   styles.xml
0  2019-08-19 12:53   Basic/
0  2019-08-19 13:22   Basic/Standard/
1317  2019-08-19 13:00   Basic/Standard/Module1.xml
348  2019-08-19 12:52   Basic/Standard/script-lb.xml
338  2019-08-19 12:52   Basic/script-lc.xml
8539  2019-08-19 12:52   settings.xml
0  2019-08-19 12:53   Configurations2/
0  2019-08-19 12:53   Configurations2/accelerator/
0  2019-08-19 12:52   Configurations2/accelerator/current.xml
0  2019-08-19 12:53   META-INF/
1390  2019-08-19 12:52   META-INF/manifest.xml
899  2019-08-19 12:52   manifest.rdf
1050  2019-08-19 12:52   meta.xml
39  2019-08-19 12:52   mimetype
3297  2019-08-19 12:52   content.xml
---------                     -------
28788                     18 files

三起应用ODT文件花样绕过杀毒引擎的进击案例剖析

此段代码下载并实行一个称为“ plink”的二进制文件。建立SSH通讯的IP是本地网络IP,而不是Internet上可用的IP,这点很风趣,由于我们肯定的其他文档都是从本地网络下载的可实行文件,不晓得它是一个测试,照样渗入测试框架,照样在特定的环境中运用。进击者有能够运用它在已受损的环境中举行横向挪动。

下载Metasploit payload:

三起应用ODT文件花样绕过杀毒引擎的进击案例剖析

一些殽杂的版本运用WMI实行下载的payload:

三起应用ODT文件花样绕过杀毒引擎的进击案例剖析

这些样本仅针对运用OpenOffice和StarSuite的用户,终究payload当前尚不清晰。

结论

Microsoft Office是一个常常遭到进击的平台,就像微软的Windows操作系统一样,因其普遍的受众群体使其成为要挟行为者的主要目的。

ODT文件花样的运用表明,进击者乐于尝试差别的感染机制,既是为了相识这些文档是不是具有更高的感染率,也是为了回避检测。正如我们上面所指出的,一些AV引擎和沙箱并不处置惩罚这些文件花样,因而在某些状况下它们会被“疏忽”。只管运用这些软件的人较少,但由于检测率低,进击者能够照样具有较高的成功率。经由过程运用较少运用的文件花样,针对特定目的的进击的能够性也会增添。

IOCs

Case #1

ODT Documents:

de8e85328b1911084455e7dc78b18fd1c6f84366a23eaa273be7fbe4488613dd

f24c6a56273163595197c68abeab7f18e4e2bedd6213892d83cdb7a191ff9900

PE:

02000ddf92ceb363760acc1d06b7cd1f05be7a1ca6df68586e77cf65f4c6963e

19027327329e2314b506d9f44b6871f2613b8bb72aa831004e6be873bdb1175d

本文翻译自:https://blog.talosintelligence.com/2019/09/odt-malware-twist.html#more​


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明三起应用ODT文件花样绕过杀毒引擎的进击案例剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址