安全路透社
当前位置:安全路透社 > 网络转载 > 正文

基于SYLK文件传播Orcus远控木马样本分析

0×01 背景

近日,腾讯反病毒实验室发现一例利用符号链接文件(SYLK文件)传播远控Orcus远控木马的攻击样本,黑客使用SYLK文件做为初始攻击载体,在SYLK文档中使用DDE加载powershell进而加载Orcus远控木马执行。对大多数用户来说,SYLK文件都很陌生,SYLK文件为微软的一种数据文件,默认由Excel程序加载,使用SYLK文件做为初始攻击载体在很大程度上可以躲避安全软件的查杀,至本文发稿,该样本仍未被腾讯电脑管家之外的各大安全厂商查杀。

黑客利用该样本的典型的攻击场景为:将免杀的SYLK恶意文档做为附件对目标用户进行钓鱼攻击,诱导用户执行进而控制用户的计算机系统;利用水坑攻击,将SYLK恶意文档替换用户信任站点的下载链接,等待用户主动下载执行。

整个样本的攻击流程过程如下所示。

1.png

在这起攻击事件中,有两点值的关注:

1.      大多数的安全厂商在自己杀毒引擎中都有对doc、xls等常见文档的格式解析功能,但对于不常见的文档结构类型(如本例中的SYLK文档结构)重视不够,没有实现对这类文档的解析功能模块,因此导致这类文档中的恶意代码无法杀毒引擎正确识别查杀。

2.      从样本编译时间戳来看,loader样本于2018年3月22日完成,Orcus远控木马样本于2018年3月24日生成,该样本时间较新,黑客们最近已经尝试出这类的免杀手段,以后使用该手段的恶意样本的可能会出现一定程度的增长。

因此,本文将对该类样本进行详细分析,供安全社区共享,共同提高安全能力,保护个人、企业、机关等用户的计算机安全。

0×02 样本分析

2.1 SYLK文件

原始样本文件名为K*****.slk,.slk后缀名为SYLK文件后缀。符号链接(SYLK)是Microsoft的一种文件格式,通常用于在应用程序(特别是电子表格)之间交换数据。SYLK文件的后缀名为.slk。该格式的文件由可显示的ANSI字符组成,即使创建SYLK文件的应用程序支持UNICODE,SYLK 文件在系统中也会以ANSI编码。

使用010edit打开文件后显示如下:

2.png

第一行的ID;PWXL;N;E申明了文档格式,P开头的行表示了不同的样式,在安装office的情况下,SYLK文件默认由EXCEL程序打开。

默认打开时,EXCEL会弹出下面的安全提示,如果用户此时点击禁用,还可免受攻击威胁。

3.png

当用户点击了启用后,OFFICE软件会提示”远程数据不可访问”对话框,同时给出了只有信任该数据时再点击是按钮,防止合法应用程序被病毒恶意利用。

4.png

再次点击是按钮后,恶意的powershell就会得以执行,此后,再无需用户的交互,机器就已经被黑客完全控制。

运行时的进程树如下:

5.png

观察原始的SYLK文件,可以在153行的内容看到恶意代码:

6.png

153行代码的含义为在单元格中使用公式加载DDE,使用“\..\..\..\Windows\System32\cmd.exe”加载powershell执行。执行的命令为:

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册