翻译:myswsun
预估稿费:80RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
0x00 前言
本文介绍一种新的恶意下载者,通过PPT传递恶意powershell脚本,可直接通过鼠标悬停事件触发。
0x01 分析
这个PPT文档很有趣。首先这个文档不依赖宏、Javascript或者VBA来作为执行方式。这意味着这个文档不符合常规的利用方式。当用户打开文档,呈现文本“Loading…Please wait”,其对用户来说是一个蓝色的超链接。当用户悬停鼠标到文本之上(很常见的用户检测超链接的方式)将导致执行Powershell。这通过在悬停操作中定义一个元素实现。这个悬停操作是为了当用户鼠标悬停在文本时在PowerPoint中执行一个程序。在slide1的资源定义中,“rID2”被定义为一个超链接,其目标是PowerShell命令。由于它的长度,在下面一步步的截图中可以看到它。
当PowerShell执行时,会从域名“cccn.nl”得到c.php文件,下载它,以“ii.jse”为名称保存在临时目录中。它能通过wscript.exe执行,然后释放出一个文件“168.gop”,然后以-decode为参数执行certutil.exe。certutil.exe将168.gop解码,在临时目录保存为484.exe。然后执行484.exe,它会启动mstsc.exe允许RDP访问系统。484.exe之后被mstsc.exe重命名保存到AppDataRoamingMicrosoftInternet Explorersectcms.exe,然后在新目录重新执行。一个bat文件被写到磁盘。这个bat文件的目的似乎是改变sectcms.exe为隐藏属性(系统文件且只读)。它还会删除临时文件夹下的所有的.txt/.exe/.gop/.log/.jse文件。我在沙箱中执行了8小时,但是没有等到攻击者连接系统。因此我不能看见后门的其他目的。
截图分析:
打开文档的呈现文本:
当悬停文档时的警告消息:
如果用户允许了,将显示下面的PowerShell提示,并很快隐藏:
下面是我为了测试PowerShell是否感知代理修改的callout——通过在PowerPoint Slide中编辑XML文件:
下面是Slide1元素中定义的rID2元素,很明显看到Powershell命令作为超链接的目标:
下面是Slide1 XML。红色高亮部分表示怎么定义悬停动作:
Sysmon 截图分析:
PowerPoint初始打开时的Sysmon日志:
Sysmon记录的PowerShell命令的执行:
恶意的payload的初始进程创建:
Mstsc.exe的进程创建之后,用于RDP访问系统:
原始payload进程的终结:
原始payload的文件拷贝。重命名为sectcms.exe和在AppData文件夹下隐藏:
新移动的payload的再次执行:
在临时文件夹中创建bat文件:
通过cmd.exe执行bat文件。执行源是mstsc.exe:
Bat的一个功能是添加隐藏、系统和只读属性:
Sectcms.exe的第二次实例创建:
最后,sectcms.exe的一个实例的退出:
0x02 IOCs
File: order.ppsx
MD5: 823c408af2d2b19088935a07c03b4222
SHA1: df99061e8ad75929af5ac1a11b29f4122a84edaf
SHA256: f05af917f6cbd7294bd312a6aad70d071426ce5c24cf21e6898341d9f85013c0
SHA512: 2cc9e87e0d46fdd705ed429abb837015757744783bf1e904f9f22d56288b9554a1bc450142e2b1644a4912c12a522391b354d97956e4cb94890744266249b7f9
File: C:UsersCurrent UserAppDataLocalTemp168.gop
MD5: 9B5AC6C4FD5355700407962F7F51666C
SHA: 9FDB4CD70BBFB058D450AC9A6985BF3C71840906
SHA-256: E97B266D0B5AF843E49579C65838CEC113562A053B5F87A69E8135A0A82564E5
SHA-512: AB85132D845437A7900E03C2F3FA773433815A4893E16F7716A5F800558B5F01827F25463EAFF619F804C484A1D23CDD5F2BCCC0F91B4B4D0C117E87D830B1B3
File: C:UsersCurrent UserAppDataLocalTemp484.exe
File: C:UsersCurrent UserAppDataRoamingMicrosoftInternet Explorersectcms.exe
MD5: 13CDBD8C31155610B628423DC2720419
SHA: 7633A023852D5A0B625423BFFC3BBB14B81C6A0C
SHA-256: 55C69D2B82ADDD7A0CD3BEBE910CD42B7343BD3FAA7593356BCDCA13DD73A0EF
SHA-512: 19139DAE43751368E19C4963C4E087C6295CC757B215A32CB95E12BDD82BB168DB91EA3385E1D08B9A5D829549DFBB34C17CA29BFCC669C7EAE51456FCD7CA49
File: C:UsersCurrent UserAppDataLocalTempii.jse
MD5: F5B3D1128731CAC04B2DC955C1A41114
SHA: 104919078A6D688E5848FF01B667B4D672B9B447
SHA-256: 55821B2BE825629D6674884D93006440D131F77BED216D36EA20E4930A280302
SHA-512: 65D8A4CB792E4865A216D25068274CA853165A17E2154F773D367876DCC36E7A7330B7488F05F4EE899E40BCAA5F3D827E1E1DF4915C9693A8EF9CAEBD6D4BFB
C2 Communications:
hxxp://cccn.nl/c.php
hxxp://cccn.nl/2.2
IP Address of C2/Payload Domain:
46.21.169.110
0x03 参考
https://www.joesecurity.org/reports/report-823c408af2d2b19088935a07c03b4222.html