文章讲述了Hancitor恶意软件通过新颖的策略,利用Word文档中的宏和剪贴板功能,隐藏并释放恶意载荷。攻击者通过伪造Docusign邮件诱导受害者点击,文档中的宏通过剪贴板操作在临时目录创建并执行恶意DLL。这种技术避开了传统检测手段,提高了攻击的隐蔽性。
情报背景
近日, McAfee的安全研究人员观察到Hancitor相关的钓鱼文档中使用了新技术来投放他们恶意载荷,
新技术利用剪贴板会创建临时文件的特性落地其恶意的OLE对象。该技术较为新颖且避免了敏感API的使用,本文将就这种较为新颖的载荷投递技术进行分析。
病毒家族
|
Hancitor
—|—
战术标签
|
载荷投递
技术标签
|
文档钓鱼、宏、剪切板操作
情报来源
|
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/hancitor-doc-drops-via-
clipboard/
**01 **攻击技术分析
本次事件的整体攻击链如下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-inC73ahQ-1692441201164)(https://image.3001.net/images/20220110/1641808436_61dc0234015239ff42adf.png!small?1641808441124)]
攻击链:
1.受害者收到一封伪装成Docusign的网络钓鱼邮件
2.受害者点击邮件内恶意链接并下载恶意Word文档
3.在打开恶意Word文档并启用宏之后,宏代码选中嵌入的OLE对象复制到剪贴板,剪贴板的特性会将该OLE对像自动释放到临时目录,被释放的OLE对象又是一个新的DOC文档
4.之后宏代码通过Documents.Open打开新文档
5.新文档使用相同的技术通过剪贴板释放最终恶意DLL文件,并通过RUNDLL32执行恶意DLL
亮点:通过剪切板落地OLE对象
原样本中利用透明图标在文档中隐藏了一个OLE对象:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bMZUH7lo-1692441201165)(https://image.3001.net/images/20220110/1641808450_61dc0242cfc29e97dce59.png!small?1641808455993)]
该对象以一个透明图标的形式隐藏在文档中,且原文件中存在一个诱导性图片,在外观上几乎无法发现。在以往的OLE利用中,一般是通过钓鱼内容诱导用户打开OLE嵌入内容,但是微软会对这种行为发出安全告警,容易引起用户的警觉。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7NvQrEkT-1692441201165)(https://image.3001.net/images/20220110/1641808463_61dc024f6af0ef4417584.png!small?1641808468537)]
在本次事件中,文档通过其中嵌入的宏代码实现对该对象的利用,整个过程静默执行:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SWp0v0Cl-1692441201165)(https://image.3001.net/images/20220110/1641808486_61dc02668e60991dc0e31.png!small?1641808491731)]
Selection对象可以用于操作当前窗口或窗格中的选定内容。该样本中主要利用Selection对象,在无需无需用户交互操作的情况下,通过MoveRight、MoveDown移动到隐藏的OLE对象处,然后通过Selection.Copy复制OLE对象到剪贴板。通过该方式复制的文件会被Word自动缓存在临时目录%Temp%下。
恶意宏利用这一原理,实现了不调用FileSystemObject直接操作文件,释放恶意文件的目的,进而执行下一步操作。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hCenH86b-1692441201166)(https://image.3001.net/images/20220110/1641808502_61dc0276e119c3276783b.png!small?1641808507978)]
经测试,嵌入的OLE对象在被选定复制后,Word会自动创建同名文件在用户临时目录下,无需攻击者执行写入操作。
例:测试插入的hta对象,在用户交互的测试情况下,只需右键复制便可自动创建同名临时文件。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ais81Nmr-1692441201166)(https://image.3001.net/images/20220110/1641808520_61dc028820131f6d9eae5.png!small?1641808525178)]
**02 **总结
1.通过OLE对象嵌入载荷,不需要下载操作,避免了网络行为的出现;
2.在VBA宏当中模拟剪切板操作,巧妙利用剪切板文件缓存特性实现载荷的投递,避免了使用FileSystemObject等敏感API,减少了可被检测的特征。
2.在VBA宏当中模拟剪切板操作,巧妙利用剪切板文件缓存特性实现载荷的投递,避免了使用FileSystemObject等敏感API,减少了可被检测的特征。
如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)
👉网安(嘿客)全套学习视频👈
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
👉网安(嘿客红蓝对抗)所有方向的学习路线****👈
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
学习资料工具包
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
面试题资料
独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
👉嘿客必备开发工具👈
工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了,给大家节省了很多时间。
这份完整版的网络安全(嘿客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
