使用 MS Office 被遗忘的功能特征来投递恶意软件

大空之巅 Web安全 2018年8月23日发布
Favorite收藏

导语:4种利用Microsoft Office投递恶意软件的技术

根据微软2016年的威胁情报报告,98%的针对Office的威胁是通过利用宏实现的。 那么,我们是否应该只专注于检测利用宏的威胁呢?当然不是。攻击者在不断创新,不断寻找绕过现有安全解决方案的方法,而使恶意软件易于执行是攻击者首先要考虑的事情。漏洞利用是实现代码执行的好方法,但对于大多数攻击者而言,漏洞利用实施起来太考验技术,要购买的话价格又太贵。利用较少见的文件类型投递恶意软件的方式简单易用,不需要受害者执行太多操作,也可以逃避检测。

如果在野的恶意软件尚未普遍使用某文件类型,则有很大可能安全产品不能正确分析此类文件。可以利用一些很少使用的Office文件类型和功能来实现此目的。在这篇博客文章中,我们重点介绍了使用几乎被遗忘了的MS Office功能,来投递恶意软件的技术。

4种利用Microsoft Office投递恶意软件的技术

除了常见的利用VBA和利用漏洞的方式,Office还支持几乎被遗忘的基本不会在正常环境中使用的文件类型。如果Excel支持某文件类型(例如, IQY, SLK),此文件将在Windows中显示一个熟悉的Excel图标,从而降低受害者怀疑的可能性,进而更有可能打开此文件。一旦使用Excel打开此文件,就可以使用DDE(动态数据交换)协议轻松的在受害主机上执行代码(如果在受害主机启用了DDE的话)。

使用OLE(对象链接和嵌入)是一种利用Windows原生支持的文件类型来感染用户主机的常用技术。引诱受害者打开Word文档要比直接打开可执行文件更容易。攻击者的问题是Office 2016默认阻止某些扩展名文件的执行。安全研究员Matt Nelson发现了一种文件类型“SettingContent-ms”它能够执行代码,但不在Office实现的阻止执行黑名单中,因此不会像OLE那样被阻止执行。

滥用Office功能的另一种方法众所周知,但很少使用: Word或Excel使用的Startup文件夹。如果将受支持的文件放在此文件夹中,则在下次启动Office程序时会自动打开该文件。

  • IQY – Excel Web Query

  • SLK – 符号链接

  • Startup文件夹

  • 嵌入SettingContent-ms

接下来让我们来看看利用这些投递技术的四个样本。

IQY – Excel Web Query

查看VMRay Analyzer报告
SHA256: ca0da220f7691059b3174b2de14bd41ddb96bf3f02a2824b2b8c103215c7403c

Excel Web Query是一种简单文本文件,用于从Web查询内容,并填充到Excel单元格中。这种文件包含一个URL,在Excel中打开文件后,URL的内容将下载到一个工作簿。在这之后,轻松的使用DDE执行代码就是可行的了。

Excel已支持该文件类型超过十年,但公开发布的恶意软件直到5月底才开始使用此技术.

我们在6月初发布了一份详细介绍利用此种方式进行攻击行动的报告:

恶意软件 分析: Excel Web Query (iqy) 文件下载FlawedAmmyy远控 (VirusTotal 5/59) https://t.co/GJAnsfwwOg #infosec18 pic.twitter.com/PCpm3O1Pfe
—— VMRay(@vmray) 7 June 2018

样本本身非常简单,只是一个文本文件,其中包含要下载的链接。

figure 1
图1: IQY文件的内容

打开文件时,Excel下载文件2.dat,并将文件的内容复制到单元格。

figure 2
图2: Excel下载下一攻击阶段的文件

figure 3
图3: 下载的2.dat文件的内容

文件2.dat的内容以=cmd|开头。这是一个简单的DDE方法,用于执行后面的代码: 使用PowerShell下载下一个攻击阶段的文件(1.dat)。执行命令之前,Excel中会弹出警告。

figure 4
图4: Office 2016弹出的警告

figure 5
图5: 第二阶段的内容, 1.dat

1.dat是一个简单的PowerShell下载器,可以下载并执行FlawedAmmyy远控。

figure 6
图6: IQY文件下载和执行FlawedAmmyy远控的流程图

SLK – 符号链接

查看VMRay Analyzer报告
SHA256: 3d479d661bdf4203f2dcdeaa932c3710ffb4a8edb6b0172a94659452d9c5c7f0

SLK文件格式用于在电子表格之间交换信息。与IQY一样,Office支持此格式也不止10年,与DDE结合使用执行代码也不难。虽然文件的内部格式没有相关文档,但是可以在不理解文件内部格式的情况下轻松修改已有的SLK文件,再说还有非官方文档可以看啊。

对于攻击者来说,实现代码执行的唯一方法是使用动态表达式替换SLK文件中的单元格,例如以= cmd |开头的表达式。以下示例(地址)使用此技术通过远程的XSL文档启动wmic. 攻击者本可以在文档种直接下载Payload,却是使用了subTee的“SquiblyTwo”利用WMIC来执行代码的技术。

figure 7 1
图7: SLK使用自定义电子表格文档启动wmic.

figure 7 2
图7: SLK启动WMIC的流程图

Startup文件夹

查看VMRay Analyzer报告
SHA256: 83b0d7926fb2c5bc0708d9201043107e8709d77f2cd2fb5cb7693b2d930378d2

打开Word或Excel时,它们会解析某些文件夹,查找文件,并默认打开找到的文件。此功能有详细的文档,某些组织会使用此功能打开常用的默认的模板。

恶意软件也可以利用此功能实现驻留或沙箱逃逸。实施起来也简单,只需将文件放入Office程序打开时解析的某一个文件夹中。在下次关联的Office程序启动之前,此文件不会被打开,而沙箱一般不会自动打开Office程序。Hexacorn有一篇关于Office Startup 文件夹的很好的文章

示例样本(地址)是利用Word的公式编辑器漏洞(CVE-2017-11882)的RTF文件,仅将XLS释放到默认的Excel XLSTART文件夹中,扩展名为xlam.

figure 9 1
图9: 沙箱检测到释放文件到XLSTART文件夹的行为

figure 8
图8: 与释放的XLS文件匹配的YARA规则

释放的XLS有经过混淆的宏,下次启动Excel时,Excel会打开释放的文件,然后执行宏,最后将DLL释放到APPDATA文件夹并为其创建链接,以便在系统启动时运行。

查看释放的XLS的VMRay Analyzer报告

figure 9 2
图9: 检测释放的XLS

嵌入的SettingContent-ms

查看VMRay Analyzer报告
SHA256: 3c6a74d216e10e4ff158716cfa72984230995041c4bbb7596b8c8aaa461d76c5

本质上,SettingContent-ms文件类型是XML,包含一个名为“Deeplink”的标签。deeplink可以指向任何可运行的文件,当文件打开时,将执行指向的文件。

当使用Office打开文档中嵌入的文档时,如果嵌入的文档是可执行文件,Office可以禁止嵌入文件打开,或发出警告。可执行文件的黑名单中没有此扩展名,因此它绕过了黑名单功能,这意味着通过Office文档执行代码一下子容易了太多。漏洞被公开披露后,安全研究人员创建了测试样本,其中许多最终提交到了VirusTotal。该方法也被野外的恶意软件使用过,用于释放LokiBot。从那时起,恶意软件开始广泛的使用此技术,还开发出了变种: 将文件嵌入PDF,而不是DOC文件。

VMRay Analyzer检测文件结果:

figure 10
图10: VMRay Analyzer检测文件结果

结论

攻击者在不断寻找新的攻击媒介。在Office文档中使用宏很容易检测,漏洞因为需要一定技巧所以不容易获取。但是,Office确实提供了许多现在未使用和被半遗忘的功能,可用于成功的实施攻击。(重新)发现这些Office功能需要努力和技巧,但是一旦获得PoC,就是一个可以用非常少的技巧实施有效攻击的切口。

VMRay Analyzer可成功分析并检测使用这些技术的恶意软件。我们会积极主动添加对新文件类型的支持,尽可能减少攻击者实施攻击的窗口。

本文翻译自:https://www.vmray.com/cyber-security-blog/forgotten-ms-office-features-used-deliver-malware/如若转载,请注明原文地址: http://www.4hou.com/web/13069.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论