自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Excel等文件中出現(xiàn)新型惡意軟件Dropper,通過釣魚郵件傳播

作者:Avenger
安全
2022 年第二季度研究人員發(fā)現(xiàn)了一些活躍的 Dropper,例如 Microsoft Excel 文件以及 Windows 快捷方式文件和 ISO 文件。通過與社會工程相結(jié)合的攻擊方式,誘使受害者觸發(fā)失陷。

Excel等文件中出現(xiàn)新型惡意軟件Dropper,通過釣魚郵件傳播

Dropper 是將 Payload 部署到失陷主機(jī)的惡意軟件,被很多攻擊者使用。2022 年第二季度研究人員發(fā)現(xiàn)了一些活躍的 Dropper,例如 Microsoft Excel 文件以及 Windows 快捷方式文件和 ISO 文件。通過與社會工程相結(jié)合的攻擊方式,誘使受害者觸發(fā)失陷。最近,利用這些 Dropper 的惡意軟件家族有 Emotet、Qbot 和 Icedid 等。

通過釣魚郵件投遞

Dropper 可以通過釣魚郵件以三種方式傳播,例如:

  • 將 Dropper 或者加密的 ZIP 文件作為附件
  • 將 HTML 文件作為附件,打開時執(zhí)行 Dropper
  • 正文中包含下載 Dropper 的鏈接

每種方式都會將惡意文件投遞給受害者并誘使其打開,如下所示:

image.png-181.3kB

加密 ZIP 文件作為附件

image.png-170.8kB

HTML 文件作為附件

image.png-120.7kB

正文嵌入下載鏈接

研究人員發(fā)現(xiàn)前兩者使用了一種被稱為“HTML 走私”的技術(shù),該技術(shù)利用合法的 HTML5 和 JavaScript 功能對惡意數(shù)據(jù)進(jìn)行編碼。如下所示,受害者通過瀏覽器打開時會將數(shù)據(jù)塊轉(zhuǎn)換為 Dropper:

image.png-266kB

HTML 走私

首次發(fā)現(xiàn)該技術(shù)是在五月,電子郵件中的下載鏈接包含 HTML 走私的網(wǎng)頁。到了六月,HTML 走私的網(wǎng)頁作為附件直接發(fā)送給受害者。

Dropper

(1) Excel 4.0 宏的 Excel 文件

該 Excel 文件并不是新出現(xiàn)的,去年 Emotet 已經(jīng)大量使用。樣本中的某些工作表被隱藏,如下所示,包含惡意代碼的工作表名為 IJEIGOPSAGHSPHP?。其中單元格 A1 內(nèi)容為 Auto_Open9939689536899569357795948589489469636486898953895396378943986并包含一個內(nèi)置宏代碼,該宏代碼會在打開文件后自動通過該單元格執(zhí)行公式。

樣本調(diào)用名為 URLDownloadToFileA的 API 從多個不同的 URL 下載惡意軟件,而實(shí)際的 Payload 是 DLL 文件并且通過 regsvr-32.exe 來執(zhí)行。

image.png-280.9kB

隱藏表中的惡意公式

(2) LNK 文件

如下所示,樣本在目標(biāo)字段中包含一個 PowerShell 代碼片段。PowerShell 代碼將 base64 字符串轉(zhuǎn)換為包含多個 URL 的腳本代碼。接著就通過每個 URL 下載惡意軟件,并通過 Regsvr-32.exe 執(zhí)行。

image.png-421.3kB

目標(biāo)屬性

捕獲了包含不同惡意代碼的其他樣本,如下所示:

image.png-82.3kB

惡意代碼執(zhí)行

下圖顯示了另一段 PowerShell 代碼,數(shù)據(jù)被解碼為 .HTA 的 URL 并通過 mshta.exe 執(zhí)行。后續(xù),HTA 文件中的 VBScript 代碼提取包含加密數(shù)據(jù)的 PowerShell 代碼,并將其轉(zhuǎn)換為腳本代碼再下載執(zhí)行。

image.png-292.5kB

惡意代碼執(zhí)行

(3) ISO 文件

攻擊者將惡意 DLL 文件與惡意 LNK 文件都存在 ISO 文件中,如下所示。DLL 文件被設(shè)置為隱藏文件,默認(rèn)情況下在文件資源管理器中不可見,而 LNK 文件通過 Rundll32.exe 來執(zhí)行惡意 DLL 文件。

image.png-255.2kB

惡意 DLL 文件與 LNK 文件都在 ISO 文件中

結(jié)論

文中提到的 Dropper 被多個惡意軟件家族所使用,如下所示。四月初,攻擊者只使用 Excel 文件進(jìn)行攻擊。緊接著,四月二十三日捕獲了 Emotet 首次使用 LNK 文件進(jìn)行攻擊的樣本,隨后的五月又被 Qbot 與 Icedid 快速采用。五月中旬又出現(xiàn)了 ISO 文件的 Dropper,涉及的惡意軟件家族包括 Qbot、Icedid 和 Bumblebee 等。在五月下旬開始,在野出現(xiàn)了 HTML 走私攻擊,這樣避免了通過網(wǎng)絡(luò)直接傳遞惡意軟件。

image.png-14.6kB

Dropper 與 Payload

下圖顯示了過去三個月內(nèi)值得注意的惡意軟件攻擊行動。

image.png-119.8kB

Dropper 應(yīng)用時間表

由于宏代碼的應(yīng)用,Office 文件一直是攻擊者最喜歡的攻擊媒介,然而隨著微軟對宏代碼逐漸增強(qiáng)安全控制。2021 年 7 月,微軟在打開 Excel 文件時默認(rèn)禁用 Excel 4.0 宏代碼。2022 年 4 月,微軟又默認(rèn)阻止了通過互聯(lián)網(wǎng)下載文件中的 VBA 宏代碼執(zhí)行。攻擊者開始轉(zhuǎn)向其他類型的文件提高入侵效率,例如 LNK 文件與 ISO 文件。

責(zé)任編輯:趙寧寧 來源: FreeBuf.COM
惡意軟件網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊
相關(guān)推薦

2024-02-19 08:16:40

2025-02-06 08:37:38

2023-11-08 14:23:55

2020-02-16 11:54:35

網(wǎng)絡(luò)安全黑客軟件

2023-04-18 18:59:13

2023-07-28 12:50:01

2023-05-29 19:17:31

2021-04-15 09:58:45

惡意廣告TikTok網(wǎng)絡(luò)犯罪

2021-04-29 15:03:33

黑客惡意軟件網(wǎng)絡(luò)攻擊

2014-12-26 14:35:34

2024-09-12 14:54:03

2022-08-31 08:24:19

惡意軟件網(wǎng)絡(luò)攻擊

2023-02-20 14:26:16

2012-03-23 09:28:14

2022-10-13 11:48:46

惡意軟件網(wǎng)絡(luò)釣魚

2021-10-29 16:28:48

Android惡意軟件網(wǎng)絡(luò)攻擊

2014-12-09 14:18:37

2015-11-09 16:21:13

2023-07-17 18:01:35

2024-02-02 10:25:00

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號