簡(jiǎn)介

在對(duì)網(wǎng)絡(luò)犯罪分子攻擊手段的分析過(guò)程中，我們會(huì)不斷遇到他們各式各樣的伎倆，用以繞過(guò)企業(yè)的安全防御機(jī)制，這些伎倆有些是先進(jìn)的，有些看起來(lái)顯得“過(guò)時(shí)”，即使如此，在大多時(shí)候，通過(guò)對(duì)這些技術(shù)的有效應(yīng)用也能幫助犯罪分子進(jìn)入受害者的電腦，滲透到公司的網(wǎng)絡(luò)之中。

本篇文章旨在揭示目前被各類網(wǎng)絡(luò)犯罪分子濫用的一些技術(shù)細(xì)節(jié)，以幫助企業(yè)、安全運(yùn)營(yíng)商和行業(yè)減輕它們的影響。

[[268655]]

技術(shù)分析

我們將從最近分析的三個(gè)案例中，重點(diǎn)介紹網(wǎng)絡(luò)犯罪分子和威脅組織目前用來(lái)逃避檢測(cè)的一些技巧：前兩個(gè)案例是與Office文檔相關(guān)的技術(shù)，用于隱藏惡意payload并引誘用戶打開(kāi)后感染；第三個(gè)案例則涉及到二進(jìn)制payload，通過(guò)濫用代碼簽名技術(shù)來(lái)逃避傳統(tǒng)安全控制技術(shù)。

表1.樣本信息

我們分析的第一個(gè)案例中，攻擊者使用了一個(gè)“已損壞”的文檔來(lái)誘使用戶選擇“恢復(fù)原始文件”，并在系統(tǒng)沒(méi)有提示警告的情況下下載惡意payload。在此例中，攻擊者利用了漏洞CVE-2017-0199，它允許文檔在打開(kāi)時(shí)下載并執(zhí)行任意代碼，從“hxxps:// www.protectiadatator [.biz/js/Oj1/smile.doc "處外部引用遠(yuǎn)程代碼并執(zhí)行，如下圖所示。

圖1.樣本中的外部資源

通常情況下，打開(kāi)像這樣的武器化文檔時(shí)，會(huì)彈出一個(gè)下圖所示的窗口警告用戶存在指向外部文件的鏈接。

圖2.彈出窗口警告

看到這條警告的用戶在選擇刪除文件后就可以避免感染，但攻擊者聰明地將文檔中的某些字節(jié)刪除了，使警告窗口的內(nèi)容變得不一樣，同時(shí)沒(méi)有影響到攻擊行為。

圖3.損壞的文件

用戶打開(kāi)文檔后，MS Word顯示的是“文檔已損壞，請(qǐng)確認(rèn)是否恢復(fù)”，誘導(dǎo)用戶選擇恢復(fù)。

圖4.彈出窗口報(bào)告無(wú)法打開(kāi)文檔

單擊“是”后，MS Word會(huì)自動(dòng)恢復(fù)文件內(nèi)容并啟動(dòng)漏洞利用，這將下載并執(zhí)行攻擊者安插的payload。2.使用Office Developer Mode隱藏payload第二個(gè)技巧則是將payload隱藏在MS Office developer控件對(duì)象中，該組件通常對(duì)終端用戶是不可見(jiàn)的。實(shí)際上，在大多數(shù)Office安裝中，默認(rèn)情況下都是禁用developer選項(xiàng)卡，因此識(shí)別異常對(duì)象的存在會(huì)更加困難。

該惡意文件開(kāi)啟后如下圖所示。

圖5.經(jīng)典網(wǎng)絡(luò)釣魚(yú)文檔

視圖宏代碼分析顯示，真實(shí)的payload藏在名為“Kplkaaaaaaaz”的對(duì)象中。

圖6.嵌入在文檔中的部分宏代碼

用戶啟用宏之后，該隱藏對(duì)象顯示為一個(gè)小文本框(圖7)，實(shí)際為Base64編碼的payload。

圖7.文檔的修改視圖

圖8.提取的payload

通過(guò)該策略，惡意軟件作者將可識(shí)別的payload移動(dòng)到一個(gè)更難以檢測(cè)的區(qū)域，在靜態(tài)分析期間被檢出的概率較低。

3.偽造簽名

另一種被網(wǎng)絡(luò)罪犯濫用的技術(shù)是“證書(shū)欺騙”，該技術(shù)能讓惡意軟件輕易繞過(guò)部分反病毒引擎。攻擊者通過(guò)某些渠道將有效證書(shū)潛入惡意軟件之中，將惡意軟件偽裝成合法的，我們?cè)谥暗奈恼隆禩A505武器之隱形電子郵件竊取器》中對(duì)此有過(guò)描述。還有些時(shí)候，即使是無(wú)效的證書(shū)也足以實(shí)現(xiàn)攻擊目標(biāo)，例如最近的Ursnif攻擊活動(dòng)。

圖9. Ursnif樣本上的欺騙簽名

使用證書(shū)欺騙技術(shù)，攻擊者可以使用來(lái)自任何網(wǎng)站的任意證書(shū)簽署任意可執(zhí)行文件。作為研究案例，我們利用賽門(mén)鐵克網(wǎng)站證書(shū)簽署了的已知Emotet二進(jìn)制文件，如下所示。

表2.樣本信息

表3.樣本信息

圖10.是否有假證書(shū)的樣本之間的比較

Microsoft SignTool工具能檢出文件簽名是無(wú)效的。

圖11. SignTool檢查報(bào)告顯示證書(shū)是無(wú)效的

但是，這個(gè)技巧讓VirusTotal檢測(cè)率從36降低到20，甚至Symantec AV也沒(méi)有將樣本檢測(cè)為惡意！不過(guò)Chronicle Security也曾經(jīng)說(shuō)過(guò)，Virustotal并不是“不同防病毒產(chǎn)品之間的比較指標(biāo)”，因此這個(gè)結(jié)果并不能表示Virustotal的適用性要大打折扣。準(zhǔn)確地說(shuō)，Virustotal提供了一個(gè)關(guān)于內(nèi)部檢測(cè)機(jī)制的線索，展示了攻擊者如何繞過(guò)一些辨認(rèn)上的邏輯，而不是整個(gè)AV解決方案。

圖12.證書(shū)添加導(dǎo)致檢測(cè)率降低

對(duì)兩個(gè)樣本的分析表明，添加證書(shū)不會(huì)影響惡意軟件的功能部件，因此也不會(huì)影響其行為。

圖13.比較有無(wú)證書(shū)的樣本

結(jié)論

我們?cè)诒酒恼轮兴故镜募既N術(shù)只是威脅行為者眾多繞過(guò)技術(shù)中的一部分，如今，即使這些技術(shù)已經(jīng)眾所周知，但它們?nèi)匀豢梢杂行У亟档蜋z測(cè)率，達(dá)成犯罪分子的攻擊目標(biāo)。我們希望，企業(yè)和行業(yè)能更進(jìn)一步加強(qiáng)對(duì)這些技術(shù)的關(guān)注，網(wǎng)絡(luò)安全人員和網(wǎng)絡(luò)罪犯之間就像是互相角逐的貓鼠，只有不斷提高自身水平才能拉高攻擊的門(mén)檻和成本。