欺骗性SEC邮件分发经过演变的DNSMessenger-Cisco.PDFVIP

2017 年10 月11 日，星期三 欺骗性SEC 邮件分发经过演变的DNSMessenger 作者：Edmund Brumaghin 和 Colin Grady，供稿：Dave Maynor 和@Simpo13。 执行摘要 思科Talos 之前曾发布了关于某个针对性攻击的研究结果，此攻击使用使用DNS TXT 记录 创建双向命令和控制(C2) 通道作为感染途径，很值得关注。利用此通道，攻击者能够使用 DNS TXT 记录查询的内容和受攻击者控制的DNS 服务器生成的相关响应，直接与Windows 命令处理程序交互。 自那以后，我们观察到了更多企图利用此类恶意软件感染多个目标组织的攻击。这些攻击最 初使用有针对性的鱼叉式网络钓鱼邮件发起恶意软件感染，并且利用受到攻击的美国州政府 服务器来托管恶意软件感染链后期阶段中使用的恶意代码。鱼叉式网络钓鱼邮件经过伪装， 这使得它们看似是由美国证券交易委员会(SEC) 发送的，目的在于借此提高合法级别，诱使 用户放心将其打开。攻击者在这一最近的恶意软件活动中锁定的组织与在之前的 DNSMessenger 活动中锁定的组织类似。这些攻击本质上具有高度的针对性，使用混淆技术 且存在复杂的多阶段感染流程表明威胁发起者经验老道，动机明确，并且还会继续实施攻击。 技术详情 与此恶意软件活动相关的邮件经过伪装，使得它们看似是由美国证券交易委员会(SEC) 电子 数据收集、分析和检索(EDGAR) 系统发送的。可能有些用户不了解该系统，EDGAR 是一个 自动化文件归档平台，组织可以利用该平台提交法律要求上市公司执行的文件归档。这样做 可能是为了从表面上提高邮件的合法性，并且增加收件人打开邮件和相关附件的可能性。 图1：恶意邮件示例 邮件本身包含恶意附件，如果打开，会触发复杂的多阶段感染流程，从而导致感染 DNSMessenger 恶意软件。恶意附件为Microsoft Word 文档。这些附件利用Dynamic Data Exchange (DDE) 而非宏或OLE 对象（利用Microsoft Word 文档执行代码的最常用方式）来 执行代码。我们在此处发布了关于这项技术的说明。在Microsoft 确定这项功能是一项蓄意设 计的功能之后，于最近公布了这项技术，并使其无法删除。目前，我们发现攻击者在肆无忌 惮地利用此项功能，正如此攻击中展现的那样。 与上述邮件类似，恶意附件经过伪装，看似是由SEC 发出的，并且包含徽标和品牌以及从 SEC 收到的任何文档中应该具有的信息。如果打开附件，受害者将收到一条消息，通知他们 文档包含指向外部文件的链接，并让他们允许/拒绝检索和显示相关内容。 图2：DDE 消息提示 图3：恶意文档示例 在此攻击案例中，如果用户允许检索外部内容，恶意文档将连接攻击者托管的内容来检索要 执行的代码，以触发恶意软件感染。值得关注的是，此恶意文档使用的DDEAUTO 字段检索 了攻击者最初托管在路易斯安那州政府网站（看似已经受到攻击并用于此目的）上的代码。 执行的DDEAUTO 命令如下所示： 图4 ：DDE 代码检索命令 上述命令会导致恶意软件直接使用Powershell 下载和执行在引用的URL 处托管的代码。从 服务器检索的代码内容是Powershell 代码，包含经过Base64 编码和gzip 压缩的代码blob。 代码经过检索和去混淆之后，传递给调用表达式(IEX) cmdlet，并由Powershell 执行。 图5：第1 阶段代码 去混淆的代码负责为感染流程划分阶段和启动后续阶段。同时，它还负责在系统上实现持久 存在。该代码采用许多方式实现持久存在，至于能否得逞则取决于恶意软件的工作环境。它 可以确定受感染系统上的Powershell 的版本以及用户的访问权限，以确定如何继续实现这种 持久存在。 首先，经过base64 编码且使用gzip 压缩的名为$ServiceCode 的代码blob 会使用以下 Powershell 命令写入到Windows 注册表中： 图6：创建注册表 Powershell 中的第二个代码块名为$stagerCode，负责提取之前存储在注册表中的代码并对 其进行解码，然后再执行此代码。