仿冒簽名攻擊頻現,針對外貿行業精準釣魚
前言
近期,360核心安全團隊監測到一類針對外貿行業人員進行攻擊的木馬正在傳播,該類木馬被包含在釣魚郵件附件的PPT文件中,所攜帶的數字簽名仿冒了知名公司“通達信”的簽名。
攻擊過程
仿冒“通達信”簽名的木馬主要通過兩種方式進行傳播,一種是通過給特定目標群體傳送釣魚郵件,另一種則是通過早已潛伏很久的“亂世”木馬來執行。
本文主要介紹通過釣魚郵件的攻擊手法。作案團伙精心製做多種PPT文件,分別針對不同的目標人員偽裝文件內容,並通過郵件附件進行傳播,誘導使用者下載點選執行。如下是其中一例傳播的樣本,該誘導附件偽裝成某“空氣清新器”相關的幻燈片文件。
直接開啟該文件後,將自動執行辦公軟體如OfficePPT或WPS PPT程式來播放全屏幻燈片如下,此時只要移動一下滑鼠,或者因為看見其中的播放按鈕而點選幻燈片的話,就會觸發執行木馬程式的動作。由於這種直接執行程式的動作比較危險,所以一般辦公軟體都會彈出警告提示讓使用者選擇是否執行,儘管如此仍有不少使用者會因為不慎點選“確定”,或者因為不斷的觸發動作導致不停地彈窗,最終讓木馬程式執行起來。
一旦得到執行機會,PPT軟體將釋放木馬程式到臨時目錄,並命名成偽裝的Office批處理程式執行起來,實際上該程式就是帶有仿冒“通達信”數字簽名的木馬。
經過測試,這種執行木馬的方式成功率較高,主要原因是木馬作者將該PPT文件的拓展型別做成自動放映檔案(“.ppsx”),並在其中設定了可不斷觸發的物件動作。通常PPT文件的儲存格式是”.ppt”或”.pptx”,開啟後不會自動全屏播放幻燈片,如下將樣本拓展名改成”.pptx”後開啟文件,可以看到其中插入的一個外部物件,並對該物件設定了“自定義動畫”。
如果只是插入可以點選執行的外部程式物件可能成功率相對較低,但是木馬作者又很猥瑣地對該物件設定了“滑鼠移過”和“滑鼠單擊”的觸發動作,只要在全屏播放文件的過程中移動滑鼠就會不斷的觸發開啟木馬程式的動作,不厭其煩地彈出安全警告,大大提高了木馬執行的成功率。
木馬分析
通過上述的攻擊手法,木馬被成功執行起來開始工作。首先定位到木馬程式的釋放位置,檢視一下該程式的外貌特徵,發現不僅程式的檔案版本資訊偽裝成了“有道”PDF文件轉換器,程式程式碼也被加了一層“Themida”強殼。
通過除錯工具對木馬程式進行脫殼處理後進一步跟蹤,發現該程式只是個載入器,其工作是在記憶體中解密出一個真正工作的核心DLL模組並載入執行,載入過程是先檢查PE頭部的資料格式後再分配記憶體進行LoadPE。
載入完核心DLL模組後,隨即通過解析PE結構獲取匯出函式“Shellex”的地址,然後呼叫該模組的匯出函式“Shellex”進行工作。
進入工作流程後,木馬模組首先聯網下載一個迷惑性的PPT文件“stick1.ppsx”,下載地址為:“hxxp://139.159.132.114:988/ppt/stick1.ppsx”。
隨後木馬開啟該PPT文件進行播放,用於給目標使用者展示感興趣的內容,目的是降低使用者的警覺性。PPT文件共有兩張幻燈片,內容仍然是“空氣清新器”相關。
當然,播放“空氣清新器”相關的PPT只是表面工作,木馬程式則已經在後臺繼續偷偷地執行。為了持久化,木馬程式首先新增自啟動,實現方式是通過”DefineDosDeviceA”建立一個該程式在系統“啟動”目錄的Dos符號連結,然後把自身拷貝到該符號連結路徑來間接地完成將木馬程式拷貝到自啟動目錄的任務。
佈置完相關的持久化環境後,木馬程式緊接著就準備上線,連線上線的伺服器地址為:”www.kuailebaoche.com:9009”。
連線伺服器之後,收集使用者電腦資訊,包括系統版本、記憶體狀態、硬碟資訊、木馬安裝時間等,還有通過遍歷程序列表來收集電腦的安全軟體執行情況,方便後續的控制活動。
資訊回傳完畢後就上線成功了,接下去便是等待遠端控制端的操作請求。一旦收到控制請求,在接收資料到緩衝區後需要先對其進行簡單的異或解密,然後再解析和分發控制指令。
最終進入分發控制流程,包含常見的遠控木馬功能如下載執行、遍歷程序、登出系統等。
追蹤溯源
整理該仿冒簽名簽發過的程式類別,發現作案團伙除了用該簽名來簽發木馬程式外,在360對其全面查殺之後,還簽發了大量通達信軟體的程式和少量的其他正常程式,在不斷地進行安全測試。
仿冒簽名測試簽發的正常通達信程式如下圖,簽名字串尾部多了一個很不顯眼的點,是作案團伙從其他簽發機構申請而來的仿冒簽名。
類似的簽名攻擊手法我們在今年釋出的相關報告《“亂世”木馬家族分析報告》和《遠控木馬盜用網易官方簽名》中都有所提及和總結。進一步挖掘整理後發現,這批仿冒“通達信”簽名的木馬中,除了一部分通過釣魚郵件傳播之外,還有另外一部分正是通過“亂世”木馬的Payload來傳播作案的。典型的一個案例是,該Payload樣本最早出現在受害使用者機器的時間是2018年5月5號,經過大半年的潛伏,最終在2018年10月26號的時候啟動了仿冒“通達信”的遠控木馬,並且受害使用者也是一個從事外貿行業的人員,與上文所述釣魚郵件的目標群體一致。
可見該作案團伙和“亂世”木馬團伙有著緊密相關的聯絡,並且是在專門針對從事外貿行業的目標群體進行攻擊,簡單總結二者之間的特點和關係如下。
防範建議
根據該作案團伙的常用攻擊手法,在此給廣大使用者提出以下幾點防範建議。
總結1、電子郵件:對於不明身份的電子郵件,提高警惕,不要輕易點開其中包含的任何連結、圖片或附件;如果開啟過程發現任何警告資訊,不要忽視或慌張,及時阻止即可。
2、文件類:對於來源不明的任何文件,不要輕易開啟檢視。若開啟過程中發現彈出安全警告,請仔細檢視選項,及時阻止繼續執行;若開啟過程發現有閃爍、崩潰等奇怪現象,可以檢查一下工作管理員關閉可疑程序。
3、IM工具:對於不認識的聊天物件或者聊天群,不要輕易接收或開啟其傳送的任何檔案、圖片或連結;開啟檔案拓展名顯示,開啟檔案前檢查檔名和拓展名。
4、軟體工具:不要輕易在網上下載來源不明的軟體程式執行,常用軟體可通過官方渠道或360軟體管家下載安裝。
5、安全軟體,建議安裝360衛士或防毒進行全方位的安全檢測和防護。
本次攻擊事件是專門瞄準特定行業的目標人群進行的,也從側面顯露了與之關聯的“亂世”木馬團伙其龐雜、有序的目標結構。從其攻擊特點上看,該作案團伙擅長通過精心製作的針對性文件、郵件或連結,結合社會工程學與簽名仿冒等技術來誘導目標實施攻擊,讓人防不勝防;並且,該團伙攻擊成功後還可能進行長期的監控和潛伏,也不斷地對木馬後門元件進行更新迭代,攻擊態勢趨於長期化與專業化,使用者不知不覺間可能早已成為攻擊的目標,即使有所察覺也可能因為木馬偽裝隱藏自己的手法而無從應對。面對頻繁活躍、日益猖獗的木馬團伙,希望廣大使用者提高安全意識、及時安裝防護軟體,謹防遭受攻擊威脅和財產損失。
附錄 Hashs