Inception使用office漏洞攻击欧洲

     2018年11月5日,Unit 42描述了2018年10月观察到的针对欧洲目标的攻击,使用CVE-2017-11882和一个新的PowerShell后门我们称之为POWERSHOWER。2014年以来,Inception攻击者一直活跃。此前曾观察到该组织在2017年针对欧洲,俄罗斯和中亚的政府目标发起攻击,并预计这些仍然是这种威胁的主要区域。

攻击过程

远程模板是Microsoft Word的一项功能,它允许文档加载要在文档中使用的模板 – 此模板可以在文件共享或Internet上进行外部托管。然后在打开文档时加载模板。Inception攻击者在恶意上下文中使用此功能,如下面的图所示:

以这种方式使用远程模板是过去4年来Inception攻击者攻击的一致特征,并且对攻击者有三个主要好处:

  1. 初始文档不包含任何明确的恶意对象,它只是引用一个外部对象,这意味着它应该绕过静态分析技术,如图2所示,文档中出现这种技术的示例。
  2. 攻击者可以根据从目标收到的初始数据(如Microsoft Word版本(在User-Agent中发送)和目标的IP地址)将恶意内容部署到受害者,请参阅:图1。
  3. 一旦攻击结束,托管远程模板的服务器关闭,研究人员很难分析攻击,因为远程内容不太可能对他们可用。

打开时,文档显示诱饵内容并尝试通过HTTP获取恶意远程有效负载。诱饵内容通常从媒体报道中复制,通常在目标区域中具有政治主题,观察到的诱饵的一些示例如图3所示,包括邀请国际会议和关于克里米亚当前情况的新闻文章。

漏洞的有效负载是OLE包对象中的VBScript,后者又解码并执行POWERSHOWER,这是一个简单的PowerShell后门。

POWERSHOWER – 自我清理的恶意软件

早些时候,我们提到以前的攻击显然是通过网络钓鱼邮件发送的,第一个仅用于侦察。在最近的情况下,我们只观察到一个文件被发送到目标,第一次尝试时发生了侦察,利用和有效载荷传递。

下载的有效载荷POWERSHOWER充当初始侦察,用于下载和执行具有更完整功能集的有效载荷。通过这个简单的后门来建立立足点,攻击者可以使用他们最复杂和最复杂的恶意软件用于后期阶段,从而降低他们检测的可能性。

简而言之,POWERSHOWER允许攻击者:

  • 将受害者主机信息上传到C&C。
  • 清除自身创建的文件等。
  • 如果攻击者确定目标计算机(基于对从第一个信标发送的系统数据的分析),则大马植入。

POWERSHOWER分析

POWERSHOWER首先检查Microsoft Word当前是否正在运行,如果是,则恶意软件假定它是第一次运行恶意软件并执行以下操作:

  1. 将自己写入%AppData%\ Microsoft \ Word \ log.ps1
  2. 使用运行键为此文件设置持久性。
  3. 添加一个注册表项,以便将来的powershell.exe实例默认在屏幕外生成 – 这个技巧在这里解释。
  4. 杀死Microsoft Word进程。
  5. 删除在删除程序过程中创建的所有文件,包括打开原始文档的证据,初始.VBS文件以及与在IE临时文件目录中检索远程模板相关联的所有临时文件。
  6. 删除在dropper进程中留下的所有注册表项。
  7. 收集受感染计算机上的系统信息并将其发送给C2。
  8. 退出

如果Microsoft Word未运行,恶意软件将进入其主通信循环,按顺序执行以下操作,只应在重新启动计算机后输入此循环:

  1. 收集系统信息并将其POST到C2。
  2. 执行GET请求
  3. 根据GET请求的状态代码,它将分支操作:
    • 如果状态代码不是200,则恶意软件基于随机生成的数字在大约25分钟到35分钟之间的随机时间段内休眠。
    • 如果状态代码为200,则恶意软件期望响应:
      • 从“P”开始; 在这种情况下,恶意软件将响应写入磁盘,可能是在后续命令中执行或使用。
      • 从“O”开始; 在这种情况下,恶意软件假定响应包含保存到磁盘然后执行的VBS代码。
      • 如果不是以这两个字符开头,则假定它是包含PowerShell表达式的XML文件,该表达式写入磁盘,读入内存,删除,然后执行。

主C&C循环背后的代码如图4所示。

IOCs

Remote Template Documents where we have the matching payload

13de9678279b6ce6d81aeb32c0dd9f7458ad1f92aee17f3e052be9f06d473bed

d547773733abef19f2720d4def2356d62a532f64bcb002fb2b799e9ae39f805f

Remote templates analyzed.

687ee860fd5cd9902b441c26d72788d5a52052d03047a9b071808fc4c53a7e8b

72eb022f395cc15bbe9582ee02f977ea0692932461a8b0bd608d9f0971125999

PowerShower sample

8aef4975d9c51821c4fa8ee1cbfe9c1f4a88c8784427d467ea99b2c1dabe15ae

Other related templates and exploit documents from 2018

49dbcf1fc8d3381e495089f396727a959885c1dd2ab6cd202cf3c4dbd1d27c4f

8b212ee2d65c4da033c39aebaf59cc51ade45f32f4d91d1daa0bd367889f934d

cc64a68ba52283f6cf5521cf75567b3c5b5143f324d37c59906ee63f1bbafcaf

2bcb8a4ddc2150b25a44c292db870124c65687444f96e078f575da69bbf018e0

Infrastructure

First Seen IP Context
20th July 2018 51.255.139[.]194 Remote template host
13th August 2018 188.165.62[.]40 Remote template host
10th October 2018 200.122.128[.]208 POWERSHOWER C2
22nd October 2018 108.170.52[.]158 Remote template host

Table 1 – IP Addresses associated with Inception Remote Template documents

相关报道:

https://www.symantec.com/connect/blogs/blue-coat-exposes-inception-framework-very-sophisticated-layered-malware-attack-targeted-milit

https://www.symantec.com/blogs/threat-intelligence/inception-framework-hiding-behind-proxies

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注