利用模板注入攻击关键基础设施-Cisco.PDF

2017 年7 月7 日，星期五 利用模板注入攻击关键基础设施 作者：Sean Baird 、Earl Carter 、Erick Galinkin、Christopher Marczewski 和Joe Marshall 执行摘要 攻击者不断寻求新的方式来借助通过邮件发送的恶意软件对用户发起攻击。Talos 发现了一 种以能源产业（包括核能源）为目标且基于邮件的攻击，这种攻击对传统的Word 文档附件 网络钓鱼进行了改进。通常，作为附件发送到网络钓鱼邮件的恶意Word 文档本身就包含可 执行恶意代码的脚本或宏。在新发现的攻击中，附件本身不包含恶意代码，而是尝试通过 SMB 连接下载模板文件，进而悄无声息地获取用户的证书。此外，攻击者还可能会利用该模 板文件在受害者的计算机上下载其他恶意负载。 背景 至少从2017 年5 月开始，Talos 就已经观察到攻击者针对世界各地的关键基础设施和能源公 司（主要位于欧洲和美国）进行攻击。这些攻击以关键基础设施运营商和为这些运营商提供 关键服务的供应商为目标。对于安全研究人员而言，关键基础设施攻击并不是什么新课题， 虽然不知道攻击者出于何种原因渴望了解关键基础设施ICS 网络，但可以肯定该攻击出于恶 意目的。 在最近一次攻击中，攻击目标似乎是要获取关键基础设施和制造业工作人员的用户证书。狡 猾的攻击者对旧的攻击方法进行了一些改进，通过借助邮件发送恶意Word 文档来窃取受害 者的证书。用户打开这些证书时，恶意软件会试图从攻击者控制的外部SMB 服务器中检索 模板文件。 技术调查 最近的攻击趋势和全球性攻击活动显示，多来为攻击者带来最大利益的简单技术正越来越容 易地得到利用。Talos 最近观察到，对可靠技术新增添的一些内容会让这些技术发挥更大的 效用。 在调查最近报告的攻击并透视提供的数据时，我们在结果中得到了一些有意思的DOCX 样 本，这些样本均以恶意垃圾邮件附件的形式发送。如下所示，这些文件通常声称是环境报告 或简历/CV 。 包含恶意文档的邮件示例 攻击中使用的一个DOCX 样本 攻击中使用的另一个DOCX 样本 首先，我们希望在样本中找到一些恶意VBA 宏或嵌入脚本。检查VBA 代码后没有任何线索： 使用oletools 分析文档 我们通过使用其他类似工具运行此样本进行了确认： 对DOCX 的深入分析 同样，在我们的分析中，没有任何常规指标指示存在包含此类编码的嵌入二进制文件。该样 本是通过搜索与攻击相关的IP 地址从沙盒中获取的，但是服务器在沙盒运行时不再接受此类 请求。在我们调查其他线索时，我们建立了隔离环境并通过服务器侦听TCP 80 端口，以此 确定会尝试获取哪些文档（如果有）。 在Word 的加载屏幕上，我们看到一些值得注意的内容： Word 正在尝试加载模板 该文档正在尝试从特定IP 下载模板文件，但却没有任何连接通过TCP 80 连接我们的诱饵服 务器。不出所料，我们的实时捕获显示TCP 445 上的握手失败。现在是时候为此处谈论的 IP 地址手动解析文档内容。经过手动解析，我们没有发现编码，但是发现了模板注入实例： 文档中发现的模板注入实例 此攻击相关的最初情报指示攻击者正在利用恶意SMB 服务器悄无声息地获取用户证书。正 如该示例所传达的一样，我们现在可以看到攻击者利用注入的模板通过SMB 建立与外部服 务器的连接。但是，这仍然不能解释为什么这个样本尝试通过TCP 80 建立会话。在深入研 究后，我们确定了就此连接类型而言，沙盒虚拟机拥有高于SMB 的既定偏好设置。简而言 之，由于主机的网络偏好设置，在请求模板时会先于SMB 会话尝试WebDAV 连接。这点已 通过另一个相关示例得到确认，该示例指示另一个外部服务器仍在侦听TCP 80 ，但不再为此 模板提供服务。 样本的沙盒PCAP 模板设置中最后一个实体是样本的word/_rels/settings.xml.rels 中存在的特定关系ID ： rId1337。在研究该关系ID 的过程中，我们进入了名为Phishery