瑞星工程师16 - 2016-3-3 14:01:00
阅读电子书,密码资料都被盗,幽灵电子书来袭!
作者:瑞星
一、事件经过
2016年2月26日,一个网络安全相关的QQ群内,一名用户分享了一份名为“网络xxx典.chm”的电子书供大家下载,瑞星网络安全工程师Bfish自然地下载了这本电子书,打算简单翻阅后决定是否收藏。当Bfish打开这个才12K大小的电子书时,感知到了计算机的异常行为,这让他意识到:这本电子书有问题。
在解开这份CHM文档后,瑞星网络安全工程师在一个html页面中找到了原因:这个电子书中的某个HTML页面内,嵌入了一段恶意代码,它可以下载一个PowerShell脚本并执行。顺藤摸瓜,Bfish最终确认了这是一个针对特定人群,以盗取用户帐号密码、文档资料为目的恶意攻击事件。这段CHM恶意代码如同幽灵一样被执行并作恶,故将此称之为幽灵电子书(ChmGhost)。
二、主要危害
通过电子书散播,攻击受众有很强的群体性,对特定人群发起攻击简直易如反掌,而且电子书“诱饵”更容易迷惑大众。
目前看到的攻击代码,主要的危害为窃取用户隐私:Windows账户信息和密码、各类应用程序的密码、计算机基本信息、屏幕截图、网络配置和Wi-Fi信息、各类文档,造成用户敏感信息和资料泄漏。这些资料的泄漏伴随着商业机密泄漏的风险,后续或造成更大的损失。
另外,攻击时所用的恶意代码,无论是二进制还是脚本,几乎都来自网络下载,攻击可以随时开启和关闭,攻击手法、攻击目的也都可以变化,这个“后门”的潜在危害也相当之大。
2月26日发现的CHM的标题是网络安全相关的,并且在网络安全相关的QQ群内散播,表明攻击者的目标是网络安全从业和对网络安全感兴趣的、有一定计算机安全基础的群体,但就算如此,仅一天时间就已经有多名受害者,如果攻击者转到其他领域,受众群体应该会更没有感知能力,危害也将更大。
三、攻击实施纵览
附件: 您所在的用户组无法下载或查看附件
四、详细技术分析
首先,CHM中使用了一种古老的方法 — 利用Internet.HHCtrl对象来运行任意命令行。doc1.html中定义了一个Internet.HHCtrl对象,再通过后续脚本触发其Click事件,调用Internet.HHCtrl.Item2定义的命令行。
附件: 您所在的用户组无法下载或查看附件
完整命令行如下:
命令行以隐藏方式启动PowerShell,并执行下载攻击者托管于Github上的攻击脚本——start.ps1。
start.ps1首先向106.80.36.165发起一个HTTP请求,下载的内容为一段PowerShell脚本字符串,通过Invoke-Expression直接调用,脚本内容如下:
附件: 您所在的用户组无法下载或查看附件
根据脚本中指明的方法,对其中的BASE64编码串进行解码、解压缩,又获得一段PowerShell脚本,内容如下:
附件: 您所在的用户组无法下载或查看附件
按照脚本中指明的方法对BASE64串解码,获得一段二进制数据,为32位x86指令的shellcode。脚本在解码这段shellcode后,将其拷贝到通过VirtualAlloc分配的一块RWX(Protect为0x40)的内存中,并通过CreateThread创建一个线程来执行,如下:
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
这段shellcode并没有经过任何加密处理,功能也非常简单:连接到指定的IP地址,获取一段新的shellcode,再次执行。虽然简单,但是这中动态执行来自网络代码的功能,危害却是相当之大,因为攻击者随时可以下发新的代码,完成新的攻击,并且没有痕迹可循。
主流程如下表所示:
附件: 您所在的用户组无法下载或查看附件
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E)
作者:瑞星
一、事件经过
2016年2月26日,一个网络安全相关的QQ群内,一名用户分享了一份名为“网络xxx典.chm”的电子书供大家下载,瑞星网络安全工程师Bfish自然地下载了这本电子书,打算简单翻阅后决定是否收藏。当Bfish打开这个才12K大小的电子书时,感知到了计算机的异常行为,这让他意识到:这本电子书有问题。
在解开这份CHM文档后,瑞星网络安全工程师在一个html页面中找到了原因:这个电子书中的某个HTML页面内,嵌入了一段恶意代码,它可以下载一个PowerShell脚本并执行。顺藤摸瓜,Bfish最终确认了这是一个针对特定人群,以盗取用户帐号密码、文档资料为目的恶意攻击事件。这段CHM恶意代码如同幽灵一样被执行并作恶,故将此称之为幽灵电子书(ChmGhost)。
二、主要危害
通过电子书散播,攻击受众有很强的群体性,对特定人群发起攻击简直易如反掌,而且电子书“诱饵”更容易迷惑大众。
目前看到的攻击代码,主要的危害为窃取用户隐私:Windows账户信息和密码、各类应用程序的密码、计算机基本信息、屏幕截图、网络配置和Wi-Fi信息、各类文档,造成用户敏感信息和资料泄漏。这些资料的泄漏伴随着商业机密泄漏的风险,后续或造成更大的损失。
另外,攻击时所用的恶意代码,无论是二进制还是脚本,几乎都来自网络下载,攻击可以随时开启和关闭,攻击手法、攻击目的也都可以变化,这个“后门”的潜在危害也相当之大。
2月26日发现的CHM的标题是网络安全相关的,并且在网络安全相关的QQ群内散播,表明攻击者的目标是网络安全从业和对网络安全感兴趣的、有一定计算机安全基础的群体,但就算如此,仅一天时间就已经有多名受害者,如果攻击者转到其他领域,受众群体应该会更没有感知能力,危害也将更大。
三、攻击实施纵览
附件: 您所在的用户组无法下载或查看附件四、详细技术分析
首先,CHM中使用了一种古老的方法 — 利用Internet.HHCtrl对象来运行任意命令行。doc1.html中定义了一个Internet.HHCtrl对象,再通过后续脚本触发其Click事件,调用Internet.HHCtrl.Item2定义的命令行。
附件: 您所在的用户组无法下载或查看附件完整命令行如下:
命令行以隐藏方式启动PowerShell,并执行下载攻击者托管于Github上的攻击脚本——start.ps1。
start.ps1首先向106.80.36.165发起一个HTTP请求,下载的内容为一段PowerShell脚本字符串,通过Invoke-Expression直接调用,脚本内容如下:
附件: 您所在的用户组无法下载或查看附件根据脚本中指明的方法,对其中的BASE64编码串进行解码、解压缩,又获得一段PowerShell脚本,内容如下:
附件: 您所在的用户组无法下载或查看附件按照脚本中指明的方法对BASE64串解码,获得一段二进制数据,为32位x86指令的shellcode。脚本在解码这段shellcode后,将其拷贝到通过VirtualAlloc分配的一块RWX(Protect为0x40)的内存中,并通过CreateThread创建一个线程来执行,如下:
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件这段shellcode并没有经过任何加密处理,功能也非常简单:连接到指定的IP地址,获取一段新的shellcode,再次执行。虽然简单,但是这中动态执行来自网络代码的功能,危害却是相当之大,因为攻击者随时可以下发新的代码,完成新的攻击,并且没有痕迹可循。
主流程如下表所示:
附件: 您所在的用户组无法下载或查看附件用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E)