通过iqy文件传播FlawedAmmyy恶意软件

ang010ela Web安全 2018年10月17日发布
Favorite收藏

导语:利用iqy文件传播恶意软件是一种新的恶意软件传播方式,本文就其原理和过程进行分析。

攻击者在不断寻找新的技术来传播恶意软件,最近研究人员发现一种通过iqy文件传播恶意软件的新方法。截止目前,已经发现有通过word文档、脚本文件、Java文件、IQY文件传播恶意软件的案例。

图片.png

图1: 攻击链

IQY文件是一种Excel Web Query(excel web查询)文件,用于从互联网下载数据。其中含有通过网络进行查询所需的参数。感染源是垃圾邮件或鱼叉式钓鱼攻击活动,一般含有PDF或IQY附件,用于传播恶意软件。这些文件在攻击者传播FlawedAmmyy RAT(remote access trojan远程访问木马)时都用到了。

图片.png

图2: 垃圾邮件

用户在收到含有PDF或iqy文件附件的垃圾邮件后,一旦点击pdf文件,就会出现打开嵌入的iqy文件的弹窗,如下图所示:

图片.png

图3: PDF附带的iqy文件

Pdf附件中含有从pdf文件中导出iqy文件的脚本,exportDataObject函数会显示一个“open file”的对话框,保持用户参与文件导出的过程。函数还含有打开附件的输入参数。

这个例子中,importDataObject函数用于将iqy文件导入,并命名为13082016.iqy。下面是iqy文件中打开附件的代码:

this[exportDataObject] ({ cname: “13082016.iqy”, nLaunch:2})

cName参数是必须输入的,指定了需要导出的特定的文件附件。nLaunch的值为2,会将acrobat保存附件为临时文件,然后请求操作系统打开该文件。这就是代码打开pdf中的附件的原理。

 图片.png

图4: PDF文件中的脚本

在点击打开文件后,Excel会自动打开iqy文件,然后开启从文件中的URL处取回内容。但Excel不允许从服务器下载数据,所以会有安全检查,为了运行文件,需要点击enable。

 图片.png

图5: 安全检查

开启安全检查后,iqy文件会下载到受害者设备的%temp%目录,然后执行。下图是含有URL和参数的iqy文件示例。

 图片.png

图6: IQY文件

iqy文件执行后,会启用命令行开始一个Powershell进程。该过程运行powershell脚本无文件执行,如下图:

 图片.png

图7: PowerShell命令

PowerShell命令保存在excel文档的A0位置,并执行。然后执行一个powershell命令,命令会从脚本中的URL处下载一个字符串,并用IEX参数执行。

图片.png

图8: PowerShell脚本

PowerShell脚本会下载和执行可执行文件—— FlawedAmmyy后门。FlawedAmmyy RAT从2016年开始活跃,含有常见后门的所有功能,包括远程控制机器、管理文件、截屏。该木马是利用Ammyy Admin远程桌面软件的version 3版本源码创建的,目前已经影响银行和汽车行业。

结论

攻击者在不断的寻找新的传播恶意软件的方法,IQY文件就是其中之一,所以应该尽早准备预防这类感染。用户在打开可疑邮件的附件时需要提高警惕。

本文翻译自:https://blogs.quickheal.com/emerging-trend-spreading-malware-iqy-files/如若转载,请注明原文地址: http://www.4hou.com/web/13902.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论