OLEAgain_LK.jpg

随着 Windows 安全性的明显提高和缓解措施的利用,攻击者为了避免昂贵的漏洞利用成本,更倾向于采用低成本的社会工程方法进行攻击。最近,我们发现了使用社工方法加载恶意OLE 对象,通过更改用户浏览器代理设置来窃取敏感信息的攻击。

1 攻击样本

攻击通过邮件附件方式传播:

certor1.png

图:邮件样例

在邮件附件.docx文件中,是一个双击可运行脚本的OLE嵌入对象,它通过一个类似发票或收据的图标来掩饰自身。

certor2_updated.png

图:附件配有德语标题要查看收据,请双击运行“

双击图片之后,运行了一个貌似正常的JScript文件,但是,如果脚本被正常执行,它将产生恶意行为:

certor3.png

图:JS脚本通常名为paypal_bestellung.jspost.ch_65481315.js

2 JScript 脚本内容和功能

解密脚本

该脚本为加密代码:

certor4.png

图:JS脚本加密样本

脚本释放并执行恶意组件,同时更改浏览器代理设置相关的注册表项。经过解密后的代码主体为:

certor5.png

图:解密后的代码主体

内置文件

在该 JScript 代码中又内置多个PowerShell脚本和一个认证证书,证书经过认证之后,用来监听HTTPS流量信息:

certor6.png

图:用左边函数解密后发现的其它恶意组件

受害者电脑的临时文件夹中将会释放和执行以下组件:

certor7.png

图:释放的恶意组件样本

恶意程序的自带认证证书cert.der :

certor8.png

图:证书通用信息

certor9.png

图:证书详细信息

certor10.png

图:证书认证信息

内置恶意组件功能

cert.der :攻击者在证书通过认证之后,可以监听用户HTTPS的流量信息:

certor11.png

图:证书被加载之后的截图

ps.ps1:(PowerShell脚本)负责检查确认证书被正常安装:

certor12.png

图: ps.ps1 代码截图

psf.ps1: 负责在火狐浏览器中安装证书,因为Mozilla一般不使用系统提供的第三方证书,只支持自身证书库证书。

certor13.png

图: psf.ps1代码截图

pstp.ps1:负责安装Tor客户端插件、任务计划程序task scheduler和代理软件proxifier。这是恶意程序篡改浏览器代理设置的一种方法。

certor14.png

图: pstp.ps1代码截图

更改注册表

为了达到更改浏览器代理设置的目的,该JScript脚本还对浏览器相关的注册表项进行篡改:

子键:HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings

篡改项:AutoConfigURL

篡改之后的值:http://pysvonjm6a7idbkz.onion/rejtyahf.js?ip=<host ip address>

certor15.png

图: 更改注册表键值

当用户使用浏览器进行网站访问后,将会返回以下代码。代码执行的功能可能是更改用户浏览器代理设置,重定向到某个恶意钓鱼或广告站点。

certor16.png

图: 代码中包含function FindProxyForURL(url,host){return”DIRECT”}

3 总结与建议

当系统受到这种攻击感染之后,包括HTTPS在内的WEB流量信息将会被恶意代理端劫持。攻击者可以实现远程重定向、更改和监控用户的浏览器使用信息,当然,一些储存在浏览器中的敏感数据和密码凭据等信息也会悄悄变成攻击者的囊中之物。

建议:

不打开来历不明的邮件;

不浏览不受信网站;

参照我们前期的分析博客,如果有以下注册表值,可进行更改:


HKCU\Software\Microsoft\Office\<Office Version>\<Office application>\Security\PackagerPrompt.

Office Version: 16.0 (Office 2016) 15.0 (Office 2013) 14.0 (Office 2010) 12.0 (Office 2007)

Office applicationword excel...

更改键值:

0 点击对象,执行但不提示。

1 点击对象,执行并提示

2 点击对象,不提示不执行。

**编译来源:technet.microsoft