记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

使用AutoHotkey和Excel中嵌入的恶意脚本来绕过检测

2019-04-21 12:25

Trend Micro研究人员发现一个使用合法脚本引擎AutoHotkey和恶意脚本文件的攻击活动。该文件以邮件附件的形式传播,并伪装成合法文件Military Financing.xlsm。用户需要启用宏来完全打开文件,使用AutoHotkey来加载恶意脚本文件以绕过检测。然后恶意软件会窃取特定的信息,甚至下载TeamViewer来获取对系统的远程访问权限。

如果用户启用宏来打开xlsm文件,就会合法的脚本引擎AutoHotkey和恶意脚本文件。一旦AutoHotkey加载恶意脚本文件,恶意软件就会连接到C2服务器来下载和执行其他脚本文件来响应来自服务器的命令。研究人员发现恶意软件最后会下载和执行TeamViewer来获取系统的远程访问权限。会根据来自C2服务器的命令来下载和执行其他脚本文件。

image.png

图1. 攻击链

Excel文件

附件excel文件题目为Foreign Military Financing (FMF),是以美国国防安全合作署的一个项目命名的。封面的内容是为了让用户启用内容以访问机密信息。

image.png

图2. Excel文件的内容

看起来该excel文件只有一个填充的sheet表。但如图2所示,其中有一个名为“ ”(空格)的sheet表。

image.png

图3. 隐藏的第二个sheet中的十六进制字符串

一旦用户启用宏,就会通过十六进制字符串释放2个文件。这些十六进制字符串是用白色字体写的,所以看起来好像这些列是空白的。释放的文件包括:

· X列的内容:C:\ProgramData\AutoHotkeyU32.exe (合法的AutoHotkey可执行文件)

· Y列的内容:C:\ProgramData\AutoHotkeyU32.ahk (攻击者创建的用于AutoHotkey的恶意脚本)

恶意字符串和AutoHotkey滥用

根据脚本文件,AutoHotkey会分配一个hotkey或执行脚本文件中的任意进程。在本例中,脚本文件AutoHotkeyU32.ahk并没有分配热键,而是会执行以下命令:

· 在开始菜单中为AutoHotkeyU32.exe创建一个链接文件,允许攻击在系统重启后继续进行;

· 每10秒钟连接到C2服务器来下载、保存和执行含有命令的脚本文件;

· 发送C盘的卷序号,攻击者以此来识别受害者。

 

图4. AutoHotkeyu32.ahk部分代码

图5. 样本C2响应

当攻击者通过C2发送与图5类似的响应时,脚本文件会将十六进制字符串转变为明文,翻译为URL“001::hxxp://185.70.186.145/7773/plug/hscreen.ahk”。然后从该URL下载ahk文件(hscreen.ahk),以随机文件名保存在%temp%文件夹中,最后通过AutoHotkeyU32.exe加载并执行。

研究人员进一步分析发现了攻击中其他释放的文件。这些文件允许攻击者获取计算机名并进行截图。其中一个文件可以下载TeamViewer,攻击者可以利用该软件来远程控制系统。

研究人员还没有弄清楚攻击者的真实意图。但研究人员从其网络监控能力、传播勒索软件和加密货币挖矿机的潜在能力,推测认为这是一起有目标的攻击活动。

总结

在大多数攻击活动中,用户可以采用多层防御措施和缓解协议来检测和应对入侵活动。用户可以通过增强设置,尤其是对含有宏的恶意软件附件进行检查,因为这类攻击都是从未知来源来下载文件、然后启用宏。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/potential-targeted-attack-uses-autohotkey-and-malicious-script-embedded-in-excel-file-to-avoid-detection/如若转载,请注明原文地址: http://www.hackdig.com/04/hack-54858.htm
知识来源: https://www.4hou.com/web/17469.html

阅读:42021 | 评论:0 | 标签:Web安全 恶意脚本

想收藏或者和大家分享这篇好文章→复制链接地址

“使用AutoHotkey和Excel中嵌入的恶意脚本来绕过检测”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云