0x1 概述
近日,腾讯反病毒实验室发现一例利用符号链接文件(SYLK文件)传播远控Orcus远控木马的攻击样本,黑客使用SYLK文件做为初始攻击载体,在SYLK文档中使用DDE加载powershell进而加载Orcus远控木马执行。
对大多数用户来说,SYLK文件都很陌生,SYLK文件为微软的一种数据文件,默认由Excel程序加载,使用SYLK文件做为初始攻击载体在很大程度上可以躲避多款安全软件的查杀。
DDE,微软动态数据交换的缩写。DDE属性允许Office应用程序从其他程序中加载数据,而黑客正是利用DDE这种天然属性,在Office应用程序中加载执行恶意代码。
黑客利用该样本的典型的攻击场景为:
将免杀的SYLK恶意文档做为附件对目标用户进行钓鱼攻击,诱导用户执行进而控制用户的计算机系统;
利用水坑攻击,将SYLK恶意文档替换用户信任站点的下载链接,等待用户主动下载执行。
整个样本的攻击流程过程如下所示。
在这起攻击事件中,有两点值的关注:
1.大多数的安全厂商在自己杀毒引擎中都有对doc、xls等常见文档的格式解析功能,但对于不常见的文档结构类型(如本例中的SYLK文档结构)重视不够,没有实现对这类文档的解析功能模块,因此导致这类文档中的恶意代码无法杀毒引擎正确识别查杀。
2.从样本编译时间戳来看,loader样本于2018年3月22日完成,Orcus远控木马样本于2018年3月24日生成,该样本时间较新,黑客们最近已经尝试出这类的免杀手段,以后使用该手段的恶意样本的可能会出现一定程度的增长。
因此,本文将对该类样本进行详细分析,供安全社区共享,共同提高安全能力,保护个人、企业、机关等用户的计算机安全。
0x2 威胁等级(中危)
危害评估:★★★★☆
一旦受害者连续确认点击多个允许未知程序运行的对话框,最终会导致电脑被攻击者完全控制。
影响评估:★★☆☆☆
目前监测到的攻击行为和攻击文档尚不多见
技术评估:★★★☆☆
实现攻击的步骤较为复杂,对攻击者技术实力有一定要求。
0x3 影响面
所有MS Office用户都是潜在的攻击目标。
0x4 样本分析
1. SYLK文件
原始样本文件名为K*****.slk,符号链接(SYLK)是Microsoft的一种文件格式,通常用于在应用程序(特别是电子表格)之间交换数据,SYLK文件的后缀名为.slk。在安装office的情况下,SYLK文件默认由EXCEL程序打开。
默认打开时,EXCEL会弹出下面的安全提示,如果用户此时点击禁用,还可免受攻击威胁。
如果用户点击启用后,OFFICE软件会提示”远程数据不可访问”对话框,同时给出了只有信任该数据时再点击是按钮,防止合法应用程序被病毒恶意利用。
再次点击是按钮后,恶意的powershell就会得以执行。
此后,再无需用户的交互,电脑就已经被黑客完全控制。
运行时的进程树如下:
观察原始的SYLK文件,可以在153行的内容看到恶意代码:
153行代码的含义为在单元格中使用公式加载DDE,使用“\..\..\..\Windows\System32\cmd.exe”加载powershell执行。执行的命令为:
对下载回来的Formules.exe进行分析
2.Formules.exe分析
Formules.exe充当了混淆壳的功能。Formules.exe使用.NET编写, Formules.exe加载解码出来的Multi.exe执行,Multi.exe本身为一个loaderPe程序,用来加载最终的远控木马。
3.Multi.exe-loader
Multi.exe编译时间戳为2018年03月22日,该样本最近才开始构建完成。Multi.exe的功能就是PELoader, 用来加载Orcus远控木马程序。
4.远控木马-Orcus.exe
Orcus.exe文件的编译时间戳显示为2018年03月24日,比Multi.exe的编译时间(2018.03.22)晚两天。
Orcus为商业远控软件,售价为40美元,该远控软件自2016年就开始出现,此后一直持续的更新维护,官方最新版本为1.9.1,除了远控木马的基本功能外,Orcus最大的产品亮点在于,它能够加载由用户开发的自定义插件和攻击者可以在远程计算机上实时执行C#和VB.net代码。
对于官方的Orcus远控软件,在远控被控端运行时,会有如下的运行风险提示,官网的Orcus一再重申,软件为远程管理类软件,并不是远控木马。
但在腾讯反病毒实验室检测到的Orcus做为木马使用的情况下,都不会出现上面的对话框。
常规的远控木马功能不再赘述,本文将结合作者理解对该远控软件比较特色的功能简单介绍。
恶作剧功能
软件集成了恶作剧功能,可以在受害机器上播放蚊子声音,龙卷风声音,鬼叫声等。
世界地图功能
软件集成了世界地图功能,可以在地图上显示各受害者所在的地理位置。
同时,统计功能也以图表的形式给出指定时间内的上线情况统计。
远程源代码直接执行功能
软件具有远程源代码直接执行的功能,目前支持支持Visual C#、VB NET、 Batch脚本的直接执行。
0x05 解决方案
以往的DDE技术利用在.doc文档和.xls文档中,而此次的DDE技术利用在.slk文档中(默认用Excle打开),而这一简单的改变就可逃避诸多杀毒软件的拦截。
DDE技术从开始提出,腾讯反病毒实验室就一直持续跟进,先后在freebuf发布《利用DDE钓鱼文档传播勒索病毒事件分析》,《Office DDEAUTO技术分析报告》,《无需开启宏即可渗透:在Office文档中利用DDE执行命令》等多篇文章对该类技术进行分析。
对于上文中提到的攻击样本,给出以下安全建议:
1.提高用户网络安全意识,不随意打开陌生人发送的文件可以最快的阻断攻击。
对上面的样本,如果用户能够在两次确认的过程中,及时的选择不允许执行,即可以阻断攻击过程。
2.个人用户建议安装腾讯电脑管家,可以帮助拦截可能的威胁文件。
3.企业用户可以在企业边界部署御界高级威胁检测系统(http://s.tencent.com/product/gjwxjc/index.html),御界高级威胁检测系统已经能够对该威胁进行阻断与报警。
0x06 参考资料:
https://en.wikipedia.org/wiki/SYmbolic_LinK_(SYLK)
https://www.fortinet.com/blog/threat-research/a-peculiar-case-of-Orcus-rat-targeting-bitcoin-investors.html
https://Orcustechnologies.com/
https://github.com/OrcusTechnologies
http://www.freebuf.com/column/152267.html
http://www.freebuf.com/articles/terminal/152064.html
http://www.freebuf.com/articles/terminal/150285.html
更完整的技术报告,请戳“阅读原文”。