手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

使用AutoHotkey和Excel中嵌入的恶意脚本来绕过检测

来源本站整理 作者佚名 时间2019-04-22 TAG 我要投稿

Trend Micro研究人员发现一个使用合法脚本引擎AutoHotkey和恶意脚本文件的攻击活动该文件以邮件附件的形式传播并伪装成合法文件Military Financing.xlsm用户需要启用宏来完全打开文件使用AutoHotkey来加载恶意脚本文件以绕过检测然后恶意软件会窃取特定的信息甚至下载TeamViewer来获取对系统的远程访问权限
如果用户启用宏来打开xlsm文件就会合法的脚本引擎AutoHotkey和恶意脚本文件一旦AutoHotkey加载恶意脚本文件恶意软件就会连接到C2服务器来下载和执行其他脚本文件来响应来自服务器的命令研究人员发现恶意软件最后会下载和执行TeamViewer来获取系统的远程访问权限会根据来自C2服务器的命令来下载和执行其他脚本文件

图1. 攻击链
Excel文件
附件excel文件题目为Foreign Military Financing (FMF)是以美国国防安全合作署的一个项目命名的封面的内容是为了让用户启用内容以访问机密信息

图2. Excel文件的内容
看起来该excel文件只有一个填充的sheet表但如图2所示其中有一个名为“ ”空格的sheet表

图3. 隐藏的第二个sheet中的十六进制字符串
一旦用户启用宏就会通过十六进制字符串?#22836;?个文件这些十六进制字符串是用白色字体写的所以看起来好像这些列是空白的?#22836;?#30340;文件包括
· X列的内容C:\ProgramData\AutoHotkeyU32.exe (合法的AutoHotkey可执行文件)
· Y列的内容C:\ProgramData\AutoHotkeyU32.ahk (攻击者创建的用于AutoHotkey的恶意脚本)
恶意字符串和AutoHotkey滥用
根据脚本文件AutoHotkey会分配一个hotkey或执行脚本文件中的任意进程在本例中脚本文件AutoHotkeyU32.ahk并没有分配热键而是会执行以下命令
· 在开始菜单中为AutoHotkeyU32.exe创建一个链接文件允许攻击在系统重启后继续进行
· 每10秒钟连接到C2服务器来下载保存和执行含有命令的脚本文件
· 发送C盘的卷序号攻击者以此来识别受害者
 

图4. AutoHotkeyu32.ahk部分代码

图5. 样本C2响应
当攻击者通过C2发送与图5类似的响应时脚本文件会将十六进制字符串转变为明文翻译为URL“001::hxxp://185.70.186.145/7773/plug/hscreen.ahk”然后从该URL下载ahk文件hscreen.ahk以随机文件名保存在%temp%文件夹中最后通过AutoHotkeyU32.exe加载并执行
研究人员进一步分析发现了攻击中其他?#22836;?#30340;文件这些文件允许攻击者获取计算机名并进行截图其中一个文件可以下载TeamViewer攻击者可以利用该软件来远程控制系统
研究人员还没有弄清楚攻击者的真实意图但研究人员从其网络监控能力传播勒索软件和?#29992;?#36135;币挖矿机的潜在能力推测认为这是一起有目标的攻击活动
总结
在大多数攻击活动中用户可以采用多层防御措施和?#33322;?#21327;议来检测和应对入侵活动用户可以通过增强设置?#32469;嵌?#21547;有宏的恶意软件附件进行检查因为这类攻击都是从未知来源来下载文件然后启用宏
 

声明:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的并不代表本站赞同其观点和对其真实性负责仅适于网络安全技术爱好者学习研究使用学习中请遵循国家相关法律法规如?#24418;?#39064;请联系我们联系邮箱[email protected]我们会在最短的时间内进行处理
  • 最新更新
    • 相关阅读
      • 本类?#35753;?/li>
      • 最近下载
      ƱȨַ
      手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中