MerkSpy 利用 CVE-2021-40444 渗透系统

吉沃运营专员

原文：https://www.fortinet.com/blog/th ... -infiltrate-systems

间谍软件是一种恶意软件，会在用户不知情或不同意的情况下秘密监视和收集用户计算机中的信息，它可以记录键盘记录、浏览行为和个人信息等活动，通常会将窃取来的数据再传输到第三方以进行间谍活动或盗窃。

FortiGuard Lab 最近检测到有利用 CVE-2021-40444 漏洞的攻击，此漏洞缺陷可让攻击者通过特制的文档来执行恶意代码。在本示例中，特制的文档利用此漏洞成功部署了 MerkSpy 的间谍软件。MerkSpy 目的在于秘密监视用户活动、捕获敏感信息并在受感染的系统上建立持久性。

本篇文章将剖析这种复杂攻击的各个阶段，深入了解网络犯罪分子渗透系统和窃取敏感数据所使用的技术。

一、CVE-2021-40444 漏洞利用

这种攻击的最初载体是一个具有欺骗性的 Microsoft Word 文档，文档内容为软件开发人员职位的工作描述



打开文档会触发 CVE-2021-40444 漏洞，这是 Microsoft Office 的 Internet Explorer 使用的 MSHTML 组件中的一个远程执行代码漏洞，该漏洞可让攻击者在受害者的计算机上执行任意代码，而无需打开文档后其它交互，攻击者将 URL 隐藏在 "\_rels\document.xml" 文件中，它定向到 hxxp://45[.]89[.]53[.]46/google/oleender[.]html，下载一个 HTML 文件，为下一阶段的攻击做准备。

二、准备 ShellCode

成功利用后，恶意文档会从远程服务器启动下载的有效负载 "olerender.html"，这个 HTML 文件是经过精心设计的，开头填充了无害的脚本来掩盖其真实意图，文件末尾隐藏了 ShellCode 和注入过程





"olerender.html" 首先会检查系统版本，如果为 x64 架构，则会提取嵌入的 sc_x64 的 ShellCode



确定操作系统版本并提取适当的 ShellCode 后，"olerender.html" 找到并检索 Windows API "VirtualProtect" 和 "CreateThread"。这些函数对于以下步骤至关重要：它利用 VirtualProtect 修改内存权限，使解码后的 ShellCode 能够安全地写入内存。接下来，CreateThread 执行注入的 ShellCode，为从攻击者的服务器下载和执行下一个有效负载做好准备。此过程可确保恶意代码无缝运行，从而促进进一步的利用。

三、ShellCode

一旦 ShellCode 就位，它就会充当下载程序，启动下一阶段的攻击。会连接到同一个远程服务器来获取一个文件，该文件被命名为 "GoogleUpdate"，名称具有欺骗性。尽管 "GoogleUpdate" 这个名字看似无害，但它却远非良性的。该文件包含核心恶意负载，负载经过深度编码以逃避标准安全措施的检测。成功下载后，ShellCode 会仔细解码并准备好有效负载以供执行。



下载 "GoogleUpdate" 后，ShellCode 使用 XOR 密钥 0x25021420 和增量值 0x00890518 对该文件进行解码。此解密过程至关重要，因为它提取文件中嵌入的隐藏的实际有效负载。通过采用这些特定的加密技术，ShellCode 可确保恶意内容保持隐藏状态，从而允许攻击者在受感染的系统上有效地执行其预期操作。

四、MerkSpy

提取的有效负载，有效负载受 VMProtect 保护。其主要功能是将 MerkSpy 间谍软件无缝注入关键系统进程。 MerkSpy 间谍软件在系统内秘密运行，使其能够捕获敏感信息、监视用户活动并将数据泄露到攻击者者控制的远程服务器。



MerkSpy 通过伪装成 "Google Update"，在 "Software\Microsoft\Windows\CurrentVersion\Run" 中添加 "GoogleUpdate.exe" 注册表项来实现持久性。这种欺骗性策略可确保 MerkSpy 在系统启动时自动启动，从而在用户不知情或同意的情况下持续运行和数据泄露。



安装后，MerkSpy 启动渗透过程并开始监视特定目标：捕获屏幕截图、记录键盘信息、检索 Chrome 登录凭据以及访问 MetaMask 扩展。一旦收集到这些数据，MerkSpy 就会通过 URL hxxp://45[.]89[.]53[.]46/google/update[.]php 将收集到的信息上传到攻击者的服务器。



POST 请求使用用户代理字符串 "WINDOWS" 并使用固定边界 "----------------------------update request" 表明这是一个多部分表单数据提交，请求体由多个部分组成：

"id" 指定客户端 ID，其中包括计算机的主机名和用户名

"check" 表示 checkk-in 的标志



"key" 包含键盘记录器捕获的数据，当上传的大文件时，该参数作为上传文件的索引



"fileToUpload[]" 表示上传的文件，例如提取的登录凭证或截图



根据 C2 服务器 "45[.]89[.]53[.]46" 的遥测数据，5 月底开始出现显着的活动高峰，主要针对北美和印度。

五、结论

攻击的初始阶段利用了 Internet Explorer 使用的 MSHTML 组件中的漏洞，一旦被利用，它就会启动下载名为 "olerender.html" 的文件，其中包含 JavaScript 和嵌入式 ShellCode。该 ShellCode 解码下载的内容以执行注入器，负责将 MerkSpy 间谍软件加载到内存中并将其与活动系统进程集成。 MerkSpy 能够执行复杂的监视活动，包括键盘记录、屏幕截图和收集 Chrome 浏览器登录数据。通过了解此攻击链的复杂性，组织可以增强准备能力并针对此类入侵部署有效的防御措施。 FortiGuard Labs 始终保持警惕，监控这些威胁，并提供持续的情报来保护我们的用户。

六、IoCs

IP Address：

• 45[.]89[.]53[.]46
  

Files：

• 92eb60179d1cf265a9e2094c9a54e025597101b8a78e2a57c19e4681df465e08
• 95a3380f322f352cf7370c5af47f20b26238d96c3ad57b6bc972776cc294389a
• 0ffadb53f9624950dea0e07fcffcc31404299230735746ca43d4db05e4d708c6
• dd369262074466ce937b52c0acd75abad112e395f353072ae11e3e888ac132a8
• 569f6cd88806d9db9e92a579dea7a9241352d900f53ff7fe241b0006ba3f0e22
• 6cdc2355cf07a240e78459dd4dd32e26210e22bf5e4a15ea08a984a5d9241067