解析攻击者利用Word模板注入恶意代码,向关键基础设施发动网络攻击
执行摘要
攻击者不间断地寻找通过电子邮件发送恶意软件以攻击目标用户的新方法。目前我们确定了一个新的基于电子邮件攻击能源行业(包括核能)的活动,活动中使用了一个新型的基于word文档附件的钓鱼攻击。通过,作为钓鱼邮件的附件而发送的Word文档本身将包含可执行恶意代码的脚本货宏,但在这个活动中,附件本身没有恶意代码,其二代之的,附件文件会通过SMB链接下载一个模版文件,进而悄悄的获取用户凭据。此外,这个模版文件还可能被用于下载其他的恶意的有效载荷到受害者的计算机上。
背景介绍
自2017年5月份开始,我们已经观察到在世界各地,尤其是欧洲和美国,一些攻击者以关键基础设施和能源公司为目前发起网络攻击活动。这些攻击活动既针对关键基础设施的提供商,也针对提供交付这些关键服务的供应商。对于安全研究人员而言,针对关键基础设施的攻击并不是一个新课题,尽管对手热衷于了解ICS网络关键基础设施的原因不能确定,但无疑是邪恶的。
最近发现的一次攻击活动中,目标似乎是为了获取在关键基础设施和制造行业工作的用户凭据。攻击者窃取用户凭据的手段相当狡猾,在传统的攻击方法上转了个弯,向目标用户发送恶意的word文档,当用户打开文档时会试图下载一个模版文件,这一恶意的模板文件来自于攻击者所控制的一个外部SMB服务器。
技术分析
从最近一段时间发生的全球性的安全事件和攻击趋势中可以看出,攻击者通过简单的技术来实现利益最大化已经变得越来越容易。根据我们的观察,某些情况下,对一些可靠的技术稍作创新,就可以使它们更加有效。 在调查最近几次攻击时间和相关数据时,我们收集到了一些恶意垃圾邮件中的有趣的附件样本,这些文档通常会命名为环境报告或简历/CVs,如下图所示:
图1:样本邮件中包含一个恶意的文档
图2:攻击中使用的一个DOCX样本
图3:攻击中使用的另一个DOCX样本
刚开始,我们期望能够在样本本身找到一些恶意的 VBA 宏或嵌入脚本,不过对VBA 代码进行审查没有发现相关线索:
图4:使用oletools工具对文档进行分析
我们使用另一个相似的工具对样本进行检测,结果一致:
图5: 进一步分析DOCX样本
我们在样本DOCX文档中没有检测到带有常规指标的恶意代码。样本文件是从一个我们正在研究的、与攻击相关的IP地址的一个沙箱中获取到的,在沙箱中运行时,服务器不再接受相关请求。于是,我们试图通过其他线索进行调查,建立了一个孤立的环境(服务器监控TCP 80端口),借以确定文档有哪些连接,如果有的话是为了获取什么。
在文档加载的过程中,我们注意到一些有趣的事情,截图如下:
图6:Word文档试图加载一个模板文件
同样的,我们使用了另一款类似的工具运行该样本,结果也证实了这一点:Word文档试图从一个特定的IP地址提取一个模板文件,不过TCP 80 端口上没有成功到达我们诱饵服务器的连接。我们捕获了一个失败的握手。现在需要对文档中的可疑IP地址进行手动解析了,从中我们发现了一个模板注入的实例:
图7:在文档中发现的一个模板注入实例
我们关于此次攻击活动的初期情报表明,攻击者使用一个恶意的SMB服务器静默的获取用户凭据,通过样本的分析结果,可以看到一个受感染的模板通过SMB与一个外部的服务器建立了连接。尽管如此,依然无法解释为什么同样的样本会试图尝试进行TCP 80 会话。经过进一步的研究,我们确定在沙盒的虚拟环境中,比起 SMB,样本更偏好TCP 80 连接。简而言之一句话,由于主机网络设置的原因,请求模板文件时,通过 SMB 会话试图建立一个WebDAV 连接,但是另一个样本正式了当一个外部服务器在监听 TCP 80 端口时,就不再为模板提供服务了。
图8:沙盒中样本的PCAP文件示例
唯一遗留下来的一个模版设置相关的信息是一个Relationship Id:rId1337,位于样本的word/_rels/settings.xml.rels文件中。进一步研究这个Relationship ID,使我们找到了GitHub上的一个命名为 Phishery的钓鱼工具的页面(https://github.com/ryhanson/phishery):
图9:钓鱼工具Phishery在GitHub上的简介
这个工具模版注入的代码中恰好也包含了这个Relationship ID,位于phishery/badocx/badocx.go页面的105行:
图10: 钓鱼工具Phishery中关于Relationship Id=”rId1337″的信息
然而,Phishery工具并不依赖于一个恶意的SMB 服务器,更确切的说,它是通过HTTPS处理通信连接的,通过基本身份认证获得用户凭据,并带有凭据的提示。而样本中通过SMB请求模版不需要也没有这样做。Phishery工具与攻击样本使用了一个相同的Relationship ID,可能的原因是:
- 纯属巧合(总是有这种可能);
- 攻击者注意到了这个工具,修改了它,或者从头开始开发、利用并沿用了工具中的一些相同的概念;
- 或者,攻击者使用相同的Relationship ID是为了阻止对攻击本身的分析(别忘了,刚开始分析的时候我们尝试跟踪 TCP 80端口上的连接,但是失败了)。
截止目前为止,没有任何证据可以证实上述三种可能中的任何一种。然而,攻击者通过出口流量中的TCP 445 端口创建了一个成功的 SMB 会话,这也进一步确认了组织仍然未能妥善阻止向公共主机发送的此类出口流量。由于 SMB 变量不需要凭证提示,故而可以认为这种技术非常简单且有效。如果攻击者能够入侵一台网络内部的主机,并在内部运行这样的服务器,情况将变得更加严重。
此外,在我们在分析这些样本的时候,攻击者控制的 SMB 服务器已经下线了,因此无法确定模板下载的最终有效载荷(如果存在的话)的情况。根据最近检测到的几次攻击事件,不难发现攻击的意图总是比较隐蔽的。强制 SMB请求到外部服务器,这一问题多年来一直是已知的安全漏洞。在没有获得更多信息之前,我们尚不能判定这次攻击的真正范围是什么,也无法确定涉及到哪些有效载荷。
结论
我们已经及时通知了这些攻击中受到影响的客户,确保他们知道并能够应对这类威胁。这次事件充分说明了对网络流量进行控制,除非环境特别需要,否则应禁止使用诸如 SMB 之类的出站协议。另外,应实施一定的病毒检测规则和邮件书写规则,在技术上做好防护,尽可能的减少未来遭受此类Office 模板注入攻击技术的威胁。
IOC
由于此次攻击收集到的情报有限,故而无法全面的分享所有与此攻击事件相关的IOCs,不过本着协作和分享精神,我们还是希望公开一些收集到的信息。
恶意文档
文件名: Report03-23-2017.docx
SHA256: 93cd6696e150caf6106e6066b58107372dcf43377bf4420c848007c10ff80bc9
文件名: Controls Engineer.docx
SHA256: (1) b02508baf8567e62f3c0fd14833c82fb24e8ba4f0dc84aeb7690d9ea83385baa
(2) 3d6eadf0f0b3fb7f996e6eb3d540945c2d736822df1a37dcd0e25371fa2d75a0
(3) ac6c1df3895af63b864bb33bf30cb31059e247443ddb8f23517849362ec94f08
相关IP地址:
184[.]154[.]150[.]66
5[.]153[.]58[.]45
62[.]8[.]193[.]206
*文章来源:talosintelligence,转载请注明来自MottoIN
官方 