文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Excel等文件中出现新型恶意软件Dropper,通过钓鱼邮件传播

2024-12-01 18:35

关注

Dropper 是将 Payload 部署到失陷主机的恶意软件,被很多攻击者使用。2022 年第二季度研究人员发现了一些活跃的 Dropper,例如 Microsoft Excel 文件以及 Windows 快捷方式文件和 ISO 文件。通过与社会工程相结合的攻击方式,诱使受害者触发失陷。最近,利用这些 Dropper 的恶意软件家族有 Emotet、Qbot 和 Icedid 等。

通过钓鱼邮件投递

Dropper 可以通过钓鱼邮件以三种方式传播,例如:

每种方式都会将恶意文件投递给受害者并诱使其打开,如下所示:

加密 ZIP 文件作为附件

HTML 文件作为附件

正文嵌入下载链接

研究人员发现前两者使用了一种被称为“HTML 走私”的技术,该技术利用合法的 HTML5 和 JavaScript 功能对恶意数据进行编码。如下所示,受害者通过浏览器打开时会将数据块转换为 Dropper:

HTML 走私

首次发现该技术是在五月,电子邮件中的下载链接包含 HTML 走私的网页。到了六月,HTML 走私的网页作为附件直接发送给受害者。

Dropper

(1) Excel 4.0 宏的 Excel 文件

该 Excel 文件并不是新出现的,去年 Emotet 已经大量使用。样本中的某些工作表被隐藏,如下所示,包含恶意代码的工作表名为 IJEIGOPSAGHSPHP​。其中单元格 A1 内容为 Auto_Open9939689536899569357795948589489469636486898953895396378943986并包含一个内置宏代码,该宏代码会在打开文件后自动通过该单元格执行公式。

样本调用名为 URLDownloadToFileA的 API 从多个不同的 URL 下载恶意软件,而实际的 Payload 是 DLL 文件并且通过 regsvr-32.exe 来执行。

隐藏表中的恶意公式

(2) LNK 文件

如下所示,样本在目标字段中包含一个 PowerShell 代码片段。PowerShell 代码将 base64 字符串转换为包含多个 URL 的脚本代码。接着就通过每个 URL 下载恶意软件,并通过 Regsvr-32.exe 执行。

目标属性

捕获了包含不同恶意代码的其他样本,如下所示:

恶意代码执行

下图显示了另一段 PowerShell 代码,数据被解码为 .HTA 的 URL 并通过 mshta.exe 执行。后续,HTA 文件中的 VBScript 代码提取包含加密数据的 PowerShell 代码,并将其转换为脚本代码再下载执行。

恶意代码执行

(3) ISO 文件

攻击者将恶意 DLL 文件与恶意 LNK 文件都存在 ISO 文件中,如下所示。DLL 文件被设置为隐藏文件,默认情况下在文件资源管理器中不可见,而 LNK 文件通过 Rundll32.exe 来执行恶意 DLL 文件。

恶意 DLL 文件与 LNK 文件都在 ISO 文件中

结论

文中提到的 Dropper 被多个恶意软件家族所使用,如下所示。四月初,攻击者只使用 Excel 文件进行攻击。紧接着,四月二十三日捕获了 Emotet 首次使用 LNK 文件进行攻击的样本,随后的五月又被 Qbot 与 Icedid 快速采用。五月中旬又出现了 ISO 文件的 Dropper,涉及的恶意软件家族包括 Qbot、Icedid 和 Bumblebee 等。在五月下旬开始,在野出现了 HTML 走私攻击,这样避免了通过网络直接传递恶意软件。

Dropper 与 Payload

下图显示了过去三个月内值得注意的恶意软件攻击行动。

Dropper 应用时间表

由于宏代码的应用,Office 文件一直是攻击者最喜欢的攻击媒介,然而随着微软对宏代码逐渐增强安全控制。2021 年 7 月,微软在打开 Excel 文件时默认禁用 Excel 4.0 宏代码。2022 年 4 月,微软又默认阻止了通过互联网下载文件中的 VBA 宏代码执行。攻击者开始转向其他类型的文件提高入侵效率,例如 LNK 文件与 ISO 文件。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯