受影响的平台: Microsoft Windows
受影响的用户: Microsoft Windows
影响:远程攻击者获得受感染系统的控制权
严重级别:严重
FortiGuard 实验室最近发现,在正在进行的 Konni 活动中使用了带有恶意宏的俄语 Word 文档。尽管该文档的创建日期是 9 月,但内部遥测数据显示该活动的 C2 服务器上正在进行的活动,如图 1 所示。
此活动依赖于能够提取信息并在受感染设备上执行命令的远程访问木马 (RAT) 。该活动已运营多年,采用多种策略进行初始访问、有效负载传输以及在受害者网络中建立持久性。
图 1:遥测
Dropper - Word 文档
打开文档后,会出现一个黄色提示栏,显示“启用内容”以及一些模糊的俄语文本(图 2)。选择该按钮后,将启动一个 VBA 脚本,显示一篇俄语文章,翻译为“西方对特种军事行动进展的评估”。
图2:Word文档
VBA 脚本(图 3)从“OLEFormat.IconLabel”检索信息,并将其存储在文件名“temp.zip”下的临时文件夹中。提取文件内容后,它使用“vbHide”参数运行“check.bat”脚本,确保批处理脚本执行时不会向用户显示命令提示符窗口。当威胁行为者试图在后台谨慎运行脚本,避免用户交互或可见窗口时,此方法非常有价值。
图3:VBA内容
准备工作—check.bat
名为“check.bat”的初始脚本文件(图 4)执行多项检查。最初,它验证远程连接会话是否存在。如果检测到,它会直接启动“netpp.bat”脚本。然后,该脚本评估当前系统是否正在运行 Windows 10,无论结果如何,都将值 1 分配给变量“%Num%”。该变量稍后在选择 UAC 绕过方法时发挥作用。此 UAC 设置与过去的 KONNI 活动不同,后者针对不同的操作系统设置 4 或 1。
此外,它还会检查系统是否在 64 位架构上运行。如果是这样,它将相应的 DLL 文件重命名为“netpp.dll”和“wpns.dll”,并删除无关的 DLL 文件。最后,它使用三个参数执行“wpns.dll”:“QQQQQQQQ”作为目标入口点名称,“%Num%”表示所选的UAC绕过方法,“netpp.bat”表示进一步操作。
图4:check.bat
UAC绕过模块—wpns.dll
Word 文档中的每个 DLL 文件均已使用 UPX 进行压缩。我们将使用 64 位版本文件深入研究细节,因为 32 位版本文件具有类似的功能。首先,在批处理文件“check.bat”中调用“wpns.dll”。它主要是为UAC绕过而设计的。在批处理文件中,参数配置为1,提示选择sub_180001B90函数,如图5所示。
图5:“QQQQQQQ”入口点的汇编代码
它启动进程“wusa.exe”,这是一个合法的 Windows 实用程序,负责安装和卸载 Windows 更新和软件包。由于它是由操作系统签名和信任的,因此它可以以提升的权限运行,而不会触发用户帐户控制 (UAC) 提示。建立“wusa.exe”后,它会复制其访问令牌,并继续使用该令牌使用“CreateProcessWithLogonW”执行指定的命令。最后,它运行一个继承提升权限的“netpp.bat”脚本。一段代码如图 6 所示。
图6:UAC旁路模块
安装—netpp.bat
图7:netpp.bat
图 7 显示了批处理文件“netpp.bat”的内容。下面对其功能进行简要说明:
- 服务停止和检查:该脚本尝试停止“netpp”服务以防止冗余执行。然后它验证系统中是否存在字符串“system32”。
- 复制文件:如果字符串“system32”不存在,则脚本将继续执行“COPYFILE”函数。该段将多个文件(例如netpp.dll、netpp.dat、netpp.ini)复制到Windows 操作系统内的“System32”目录。复制过程完成后,特定文件将被删除。
- 服务创建:然后,脚本转换到“INSTALL”部分,其中使用“sc create”、“sc description”和“sc config”等命令生成并配置名为“netpp”的服务。它将服务配置为使用一个不太显眼的名称“Internet Print Provider Service”自动启动。
- 注册表设置:接下来,它在“HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost”项中添加一个注册表项,并使用新值“netpp”。此注册表设置可能将“netpp”服务与 Windows 服务主机相关联。然后,它添加“HKLMSYSTEMCurrentControlSetServicesnetppParameters”键,并创建一个名为“Serviceb11”、类型为 REG_EXPAND_SZ 的新值,其值数据为“%windir%System32netpp.dll”。此注册表设置似乎定义了“netpp”服务的参数,指定“netpp.dll”文件在 Windows 系统目录中的位置。
- 服务启动和清理:最后,脚本启动“netpp”服务并执行跟踪删除。
最终有效负载—netpp.dll
最初,程序会验证各个库中的多个 Windows API 函数,如图 8 所示。如果成功加载这些函数,则程序将继续;否则,程序将继续执行。否则,返回 0 并终止。“netpp.ini”中存储的 C2 配置使用 AES-CTR 加密,密钥源自上一步中建立的服务名称“netpp”。“netpp.ini”的前 16 个字节用作初始化向量 (IV) 来解密和揭示 C2 服务器列表,如图 9 所示。
图 8:检查 Windows API 函数
图 9:“netpp.ini”中解密的 C2 列表
然后,该程序使用命令“cmd /c REG ADD HKCUConsole /v CodePage /t REG_DWORD /d 65001 /f”添加注册表项,并开始从受感染的系统收集信息。它使用命令“cmd /c systeminfo”收集有关目标系统的全面详细信息,包括操作系统版本、系统制造商、可用的修补程序、系统正常运行时间和网络配置。该数据存储在临时文件中,程序将字符串“rr”与系统时间连接起来以创建文件名。接下来,它执行“cmd /c makecab”来压缩文件,除非临时文件具有以下扩展名之一:“.7z”、“.zip”、“.rar”、“.cab”、“.docx”、 ”或“.xlsx”,如图 10 所示。
图 10:将收集的数据转换为 cab 文件
接下来,使用 AES-CTR 算法,使用文件名作为密钥来加密 CAB 文件。然后,使用硬编码的 HTTP 语法,通过 POST 请求将加密数据上传到 C2 服务器,如图 11 所示。
图 11:创建 HTTP POST 请求
然后,它使用命令“cmd /c tasklist”来获取系统上当前活动进程的列表。这有助于威胁参与者了解系统的状态并可能识别已实施的安全措施。该数据经历与早期进程相同的过程并传输到C2服务器,整个C2请求被定向到“up.php”,参数为“name=%PCNAME%”,如图12所示。上传后,程序会删除临时文件以消除痕迹。
图 12:上传任务列表数据的 POST 请求
接下来,它尝试通过向“dn.php”发送带有参数“name=%PCNAME%”和“prefix”的 HTTP 请求来从 C2 服务器获取有效负载或命令。“前缀”的潜在值包括“cc”后跟数字或简单的字符串“tt”。C2 会话如图 13 所示。
图 13:到 dn.php 的 C2 会话
尽管来自 C2 服务器的实际命令尚未公开,但我们可以从 DLL 文件中的汇编代码推断出它。收到服务器的响应后,系统使用“#”作为分隔符解析数据,执行base64解码,并使用AES解密信息。然后将解密的内容存储为临时文件。然后,程序执行“cmd /c Expand –R”以检索后续操作的有效负载,如图 14 所示。
图 14:处理来自 C2 服务器的响应数据
图 15 显示了它如何处理 C2 命令的部分代码,其中包括使用特定权限执行命令、下载文件和上传特定文件。
图 15:C2 命令
结论
本文探讨了复杂的威胁参与者使用批处理脚本和 DLL 文件在 Word 文档中使用的高级工具集。有效负载包含 UAC 绕过和与 C2 服务器的加密通信,使威胁参与者能够执行特权命令。随着这种恶意软件的不断发展,建议用户对可疑文档保持谨慎。
IOC
C2清单:
kmdqj1[.]c1[.]biz
ouvxu2[.]c1[.]biz
9b31n8[.]c1[.]biz
3pl0y5[.]c1[.]biz
dpgbep[.]c1[.]biz
7qnbae[.]c1 [.]biz
glws5m[.]c1[.]biz
ewqqa4[.]c1[.]biz
3897lb[.]c1[.]biz
558ga9[.]c1[.]biz
b91stf[.]c1[.]biz
bg5pl1 [.]c1[.]biz
caoy9n[.]c1[.]biz
rziju6[.]c1[.]biz
pm90p1[.]c1[.]biz
pxyunf[.]c1[.]biz
m2jymd[.]c1[ .]biz
aocsff[.]c1[.]biz
6e2nbc[.]c1[.]biz
vqt9i1[.]c1[.]biz文件:
ac9b814b98a962bc77b2ab862d9c3b1ba5f7e86b80797259b4fcb40bfb389081
f07e55ce20e944706232013241d23282e652de2c9514904dede14d4a711a5d1d
085cdb09aba0024c0cadbefe428817829bbe4ab0f68598572ebccc2f6f25e78f
793b8e72fded73ae6839e678b03bd5c99959f47a1ad632095ba60fb89f66fa91
83e66d912ca592bc2accfd9c275647f287b6dc72a859054a348e616537999b64
656dd6e67a51aebc6c69dc35eaba2e1502f225ae6fd9d0a5ff70879982427844
cfbc7e6a89e4a23a72c7bcd9019197721f18506d9ab842011e0ab9d9eb24c2cc转载来源:https://www.fortinet.com/blog/threat-research/konni-campaign-distributed-via-malicious-document
图片来源网络目标可联系删除
