隨著 Windows 安全性的明顯提高和緩解措施的利用,攻擊者為了避免昂貴的漏洞利用成本,更傾向于采用低成本的社會工程方法進行攻擊。最近,我們發現了使用社工方法加載惡意OLE 對象,通過更改用戶瀏覽器代理設置來竊取敏感信息的攻擊。
1 攻擊樣本
攻擊通過郵件附件方式傳播:
圖:郵件樣例
在郵件附件.docx文件中,是一個雙擊可運行腳本的OLE嵌入對象,它通過一個類似發票或收據的圖標來掩飾自身。
圖:附件配有德語標題”要查看收據,請雙擊運行“
雙擊圖片之后,運行了一個貌似正常的JScript文件,但是,如果腳本被正常執行,它將產生惡意行為:
圖:JS腳本通常名為paypal_bestellung.js或post.ch_65481315.js
2 JScript 腳本內容和功能
解密腳本
該腳本為加密代碼:
圖:JS腳本加密樣本
腳本釋放并執行惡意組件,同時更改瀏覽器代理設置相關的注冊表項。經過解密后的代碼主體為:
圖:解密后的代碼主體
內置文件
在該 JScript 代碼中又內置多個PowerShell腳本和一個認證證書,證書經過認證之后,用來監聽HTTPS流量信息:
圖:用左邊函數解密后發現的其它惡意組件
受害者電腦的臨時文件夾中將會釋放和執行以下組件:
圖:釋放的惡意組件樣本
惡意程序的自帶認證證書cert.der :
圖:證書通用信息
圖:證書詳細信息
圖:證書認證信息
內置惡意組件功能
cert.der :攻擊者在證書通過認證之后,可以監聽用戶HTTPS的流量信息:
圖:證書被加載之后的截圖
ps.ps1:(PowerShell腳本)負責檢查確認證書被正常安裝:
圖: ps.ps1 代碼截圖
psf.ps1: 負責在火狐瀏覽器中安裝證書,因為Mozilla一般不使用系統提供的第三方證書,只支持自身證書庫證書。
圖: psf.ps1代碼截圖
pstp.ps1:負責安裝Tor客戶端插件、任務計劃程序task scheduler和代理軟件proxifier。這是惡意程序篡改瀏覽器代理設置的一種方法。
圖: pstp.ps1代碼截圖
更改注冊表
為了達到更改瀏覽器代理設置的目的,該JScript腳本還對瀏覽器相關的注冊表項進行篡改:
子鍵:HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings
篡改項:AutoConfigURL
篡改之后的值:http://pysvonjm6a7idbkz.onion/rejtyahf.js?ip=
圖: 更改注冊表鍵值
當用戶使用瀏覽器進行網站訪問后,將會返回以下代碼。代碼執行的功能可能是更改用戶瀏覽器代理設置,重定向到某個惡意釣魚或廣告站點。
圖: 代碼中包含function FindProxyForURL(url,host){return”DIRECT”}
3 總結與建議
當系統受到這種攻擊感染之后,包括HTTPS在內的WEB流量信息將會被惡意代理端劫持。攻擊者可以實現遠程重定向、更改和監控用戶的瀏覽器使用信息,當然,一些儲存在瀏覽器中的敏感數據和密碼憑據等信息也會悄悄變成攻擊者的囊中之物。
建議:
不打開來歷不明的郵件;
不瀏覽不受信網站;
參照我們前期的分析博客,如果有以下注冊表值,可進行更改:
HKCUSoftwareMicrosoftOffice
Office Version:
16.0 (Office 2016) 15.0 (Office 2013) 14.0 (Office 2010) 12.0 (Office 2007)
Office application: word excel...
更改鍵值:
0 點擊對象,執行但不提示。
1 點擊對象,執行并提示
2 點擊對象,不提示不執行。
**編譯來源:technet.microsoft
京公網安備 11010502049343號