一、概述近日，騰訊安全御見威脅情報(bào)中心捕獲到一起針對某大型數(shù)字加密幣交易平臺客服人員發(fā)起的魚叉式定向攻擊。攻擊者自稱為幣圈資深用戶

一、概述近日，騰訊安全御見威脅情報(bào)中心捕獲到一起針對某大型數(shù)字加密幣交易平臺客服人員發(fā)起的魚叉式定向攻擊。攻擊者自稱為幣圈資深用戶，由于對該交易平臺客服不滿，進(jìn)而對比了該平臺與其競爭關(guān)系的xx平臺，并列出多條建議在郵件附件中，希望該平臺做出改進(jìn)。

郵件附件中包含了一個(gè)名為“客服和xx投訴對比和記錄2019.xls”的電子表格文件，該文件為攻擊誘餌文件，攜帶Excel 4.0 XLM宏代碼，當(dāng)接收郵件的客服人員打開該文件，且允許執(zhí)行其中的宏代碼，宏代碼將拉取一個(gè)偽裝為HelloWorld的惡意程序執(zhí)行，最終經(jīng)過多層惡意代碼解密，執(zhí)行Cobalt Strike遠(yuǎn)控后門。

針對數(shù)字加密幣公司的定向攻擊流程

一旦客服人員機(jī)器被成功植入木馬，攻擊者則可以輕易的獲取到交易平臺內(nèi)部信息資料，甚至通過該客服機(jī)器作為跳板機(jī)，入侵交易所內(nèi)部核心機(jī)密數(shù)據(jù)，最終導(dǎo)致平臺遭受不可預(yù)估的損失。最壞的情況下，可能導(dǎo)致交易平臺數(shù)字虛擬幣被盜。數(shù)字虛擬幣大規(guī)模被盜的事件在幣圈曾頻繁發(fā)生，每次都會(huì)引起數(shù)字虛擬幣市值的極大波動(dòng)。

通過攻擊目標(biāo)企業(yè)安全意識薄弱職位的相關(guān)人員，在APT攻擊中往往能取得不錯(cuò)的成效。例如攻擊者通常通過對攻擊目標(biāo)客服人員發(fā)送咨詢/建議郵件，對銷售人員發(fā)送訂單信息/采購郵件，對人力資源人員發(fā)送簡歷信息郵件，對法務(wù)人員發(fā)送律師函等。

騰訊安全團(tuán)隊(duì)此前捕獲到的：《御點(diǎn)截獲針對某大型商貿(mào)企業(yè)的定向商業(yè)APT攻擊》，也同樣使用了類似的手法。(鏈接：https://mp.weixin.qq.com/s/kusT8mArumwmuRaiAtdRWA)

攻擊郵件示例

攻擊文檔示例

總結(jié)一下本次攻擊的特點(diǎn)：

二、技術(shù)分析

Excel 4.0惡意宏利用使用Office2010打開惡意文檔，可看到雖然有宏提示，但無法看到宏代碼(使用了Excel 4.0宏技術(shù))。表格內(nèi)容通過提示需點(diǎn)擊“啟用內(nèi)容”進(jìn)一步查看表格詳細(xì)內(nèi)容，進(jìn)而誘導(dǎo)被攻擊者啟用宏。

誘餌文檔極具迷惑性

Microsoft很早就使用VBA宏來代替Excel 4.0宏技術(shù)，這導(dǎo)致Excel 4.0宏并不為大眾所熟知。文檔中右鍵點(diǎn)擊標(biāo)簽頁，取消隱藏選擇auto后，可看到其Excel 4.0-XLM宏代碼，宏內(nèi)容隱藏在表格中，主要功能為通過將d列表格內(nèi)容寫入文件null.hta，然后通過rundll32執(zhí)行null.hta。

右鍵標(biāo)簽頁取消隱藏工作表，選中auto

之后可看到表格中隱藏的宏代碼

也可使用oletools直接提取宏

下圖為整理后的null.hta代碼，主要功能為從鏈接(hxxp://close.webredirect.org/age.png)處下載圖片文件到本地ProgramData目錄下命名為A164C0BF-67AE-3C7E-BC05-BFE24A8CDB62.dat 執(zhí)行。

偽裝自身為HelloWorld的空白main函數(shù)惡意程序： 查看下載回的age.png文件，粗略看是一個(gè)Main函數(shù)為空的HelloWorld程序，攻擊者使用該手法來迷惑分析人員誤以為其只是一個(gè)測試程序。

仔細(xì)觀察可發(fā)現(xiàn)看似是HelloWorld的空白程序，其中包含了一個(gè)卸載接口函數(shù)，宏代碼使用以下.net命令執(zhí)行該文件中的卸載函數(shù)：

C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe -U C:\Windows\..\ProgramData\A164C0BF-67AE-3C7E-BC05-BFE24A8CDB62.dat

卸載接口中將執(zhí)行一段PowerShell代碼，PowerShell代碼使用Base64編碼并壓縮

解碼解壓縮后的PowerShell代碼如下，主要功能為訪問地址 Hxxp://close.webredirect.org/index.png?random，隨后將返回一個(gè)大小約200k的數(shù)據(jù)流，在內(nèi)存中對返回的數(shù)據(jù)先進(jìn)行Base64解碼，解碼后內(nèi)容的前16字節(jié)作為RC4密鑰，使用RC4再解密剩余部分?jǐn)?shù)據(jù)執(zhí)行。

進(jìn)一步查看RC4解密后的PowerShell代碼如下，主要功能為釋放RAT遠(yuǎn)控木馬，并將其設(shè)置持久化。

其中關(guān)鍵變量wlbsctrl，解碼后為一個(gè)區(qū)分x86,x64不同平臺的dll模塊，Powershell代碼通過對釋放到本地的wlbsctrl.dll進(jìn)行持久化操作，而wlbsctrl.dll模塊主要功能為調(diào)用InstallUntil.exe模塊進(jìn)而執(zhí)行27F31D55-D6C6-3676-9D42-C40F3A918636.dat中的卸載接口，從而實(shí)現(xiàn)間接開機(jī)啟動(dòng)執(zhí)行27F31D55-D6C6-3676-9D42-C40F3A918636.dat中的惡意代碼。

關(guān)鍵變量rat解碼后查看，依然為一個(gè)HelloWorld-Main空程序，該模塊同樣使用卸載函數(shù)執(zhí)行惡意代碼，不同點(diǎn)為卸載接口內(nèi)PowerShell內(nèi)容不同，該模塊解碼后存放于用戶目錄27F31D55-D6C6-3676-9D42-C40F3A918636.dat文件中。

27F31D55-D6C6-3676-9D42-C40F3A918636.dat中的PowerShell代碼內(nèi)部解密硬編碼變量DoIt執(zhí)行，解密方式依然為RC4，密鑰為Base64解碼后內(nèi)容的前16字節(jié)。

對DoIt變量解密后可拿到其代碼，主要為創(chuàng)建線程，申請內(nèi)存執(zhí)行payload，payload的解密方式依然為Base64解碼+RC4，與之前的不同之處為解密完成后再進(jìn)行一次Base64解碼獲取最后要執(zhí)行的ShellCode。

云端拉取內(nèi)存裝載執(zhí)行的ShellCode：

ShellCode代碼通過遍歷LDR找到kernel32模塊，然后獲取LoadLibraryA的地址，加載Wininet模塊，然后獲得一系列網(wǎng)絡(luò)操作函數(shù) InternetConnect, httpOpenRequest, httpSendRequest地址調(diào)用，最終向地址 192.52.167.185發(fā)送Get請求，并使用InternetReadFIle循環(huán)每次讀取0x2000字節(jié)網(wǎng)絡(luò)數(shù)據(jù)流在內(nèi)存中拼接出一個(gè)完整Dll文件，Dll使用反射式裝載的方式在內(nèi)存中執(zhí)行。

Cobalt Strike后門遠(yuǎn)控DLL： 內(nèi)存中可dump出的反射加載的DLL文件

觀察該Dump模塊可知為Cobalt Strike生成的DLL后門遠(yuǎn)控攻擊模塊，Cobalt Strike攻擊模塊數(shù)據(jù)交互支持HTTP、HTTPS、DNS和SMB隧道協(xié)議，該后門支持遠(yuǎn)程屏幕，鍵盤記錄，遠(yuǎn)程Shell等常用的遠(yuǎn)程控制功能。攻擊模塊通過異或0x69解密出上線配置信息。

解密可得攻擊者使用C2地址為192.52.167.185

Cobalt Strike控制端主界面如下(圖片來自官方站點(diǎn)),是一個(gè)具備鍵盤記錄，屏幕監(jiān)控，遠(yuǎn)程shell的多功能的后門遠(yuǎn)控，攻擊者可利用該木馬竊取用戶機(jī)器內(nèi)重要資料，詳細(xì)資料可參考其官方站點(diǎn)(https://www.cobaltstrike.com)。

三、安全建議1、建議不要打開不明來源的郵件附件，除非清楚該文檔來源可靠; 2、企業(yè)要防止組織架構(gòu)和員工信息的公開泄漏; 3、使用高版本完整版Ofiice，并注意安裝Office安全更新，如下圖中高版本Office會(huì)自動(dòng)識別出文檔有風(fēng)險(xiǎn)，提醒用戶“編輯此文件可能損害計(jì)算機(jī)”;

4、使用殺毒軟件防御可能的病毒木馬攻擊。

IOCs

MD5

66e36f8395ab863c0722e129da19b53a 47a3bfa4c2cda547a20cfd495355ed8f 1c19ccab8237cd63b9e1f2d3b4303bc7 14be66a46b1964ba2307fe8a54baadf2 1d93f68b6d7f0b03eb137974b16e249b 95c998ebef4804e2d15dcef659d73df6

URL

hxxp://close.webredirect.org/age.png hxxp://close.webredirect.org/index.png

C2

192.52.167.185

關(guān)鍵詞： 攻擊誘餌文件 Excel 宏代碼