使用 Office 公式编辑器漏洞安装键盘记录器
本篇报告来自:https://asec.ahnlab.com/en/66720/AhnLab 安全情报中心 (ASEC) 已确定 Kimsuky 威胁组织最近利用 MS Office (EQNEDT32.EXE) 中的公式编辑器中的漏洞 (CVE-2017-11882) 来传播键盘记录器。攻击者通过利用该漏洞通过 mshta 进程运行嵌入恶意脚本的页面来传播键盘记录器。
mshta 连接到的页面是 http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php 并使用文件名 error.php。如上图所示,"Not Found" 消息让用户感觉好像没有建立连接,但恶意脚本正在运行。
上图显示了 error.php 的内容,主要行为包括通过PowerShell 命令从 C2 (Query=50) 下载额外的恶意软件菌株,在 Users\Public\Pictures 路径下创建名为 desktop.ini.bak 的文件,并将 desktop.ini.bak 文件注册到在 HKLM 下运行名为 "Clear Web History" 的密钥,以允许其再次运行。虽然通过 PowerShell 下载并执行了额外的恶意软件,但攻击者在运行 wscript 的部分进行了错误编码,导致无法注册到 Run 键并创建文件。当出于复制目的编辑脚本并使其按预期运行时,将创建 Desktop.ini.bak 文件并将其自身正确注册到注册表项,如下图所示
第一个下载的恶意软件是 PowerShell 脚本,如上图所示。它收集系统和 IP 信息并将其发送到 C2 (Query=97)。此外,它还可以从 C2 下载并执行键盘记录器 (Query=107)。
上图显示了键盘记录器主要部分的脚本,该脚本在 Users\Public\Music 路径下创建文件 desktop.ini.bak,用于记录用户的键盘记录数据以及剪贴板数据。
Kimsuky 组织仍然利用之前经常使用的 MS Office 方程编辑器 (EQNEDT32.EXE) 中的漏洞 (CVE-2017-11882),以提高攻击的成功率,修补漏洞以防止旧漏洞感染恶意软件非常重要。软件必须始终更新到最新版本,用户应避免使用已达到服务终止 (EOS) 的软件。另外,用户切勿打开可疑文档文件,并提前将 V3 更新至最新版本,以防止恶意软件感染。除了端点安全产品 (V3) 之外,还必须实施基于沙箱的 APT 解决方案 (例如 MDS),以防止网络攻击造成的危害。
IOC
[*]279c86f3796d14d2a4d89049c2b3fa2d
[*]5bfeef520eb1e62ea2ef313bb979aeae
[*]d404ab9c8722fc97cceb95f258a2e70d
页:
[1]