Unit 42 观察到的新一轮攻击活动,利用 HTML 帮助文件分发恶意软件。文章将展示如何分析恶意HTML 帮助文件,并通过 JavaScript 和 PowerShell 的多个阶段跟踪攻击链,直至最终payload。
这种攻击很有趣,因为攻击者经常寻找新颖的方法来分发payload。他们这样做的目的有两个:
-
试图绕过安全产品
-
试图绕过经过安全培训的人员
潜在的目标可能已经接受过提防来自未知发件人的文档、脚本和可执行文件的培训,但重要的是要注意所有的文件类型。
这个攻击链将 Agent Tesla 作为最终的payload,这是众所周知的恶意软件,已经存在了一段时间。Agent Tesla 主要从目标计算机中窃取敏感信息,并通过 FTP、SMTP 或 HTTP 将该信息发送给攻击者。它通过键盘记录、屏幕捕捉、摄像头记录和访问敏感数据窃取信息。
恶意 HTML 帮助文件
最初是一个名为ORDER OF CONTRACT-pdf.7z的 7zip 压缩文件,其中包含恶意编译的 HTML 帮助文件ORDER OF CONTRACT-pdf.chm (SHA256:081fd54d8d4731bbea9a2588ca53672feef0b835dc9fa9855b020a352819feaa )。当目标打开帮助文件时,会显示这个看似无害的窗口。
图 1. Decoy HTML 帮助窗口
可以使用 7zip 解压帮助文件以查看内容。文件是kkjhk.htm文件,它会显示诱饵窗口并执行代码。
图 2. 帮助文件内容
该文件包含混淆的JavaScript,当文件被打开时被执行。
图 3. kkjhk.htm 中的混淆 JavaScript 代码
可以通过在 Chrome 中打开文件并使用 Chrome 开发人员工具来反混淆此代码。上面的代码显示,返回的结果存储在r变量中。可以使用 Chrome 开发者工具中的 JavaScript 调试器,在返回语句上进行断点。当在断点处停止执行后,就可以查看r变量的内容,并将其复制以便进一步分析。
图 4. 在 Chrome 开发者工具中调试 kkjhk.htm
r变量的内容揭示了显示诱饵信息的HTML代码和执行PowerShell的命令。
图 5. kkjhk.htm 的反混淆内容
初始 PowerShell
打开文件时,被混淆的 PowerShell 代码在后台执行。
图 6. 混淆的 PowerShell
可以对这段代码进行去混淆处理,以便通过删除最终混淆的Invoke-Expressioncmdlet (I EX())来轻松地阅读它。攻击者经常在这样的敏感命令中插入反斜线,以避免字符串识别,因为 PowerShell忽略了这些字符。然后可以看到该样本利用 PowerShell Test-Connection cmdlet 来ping Google,以在继续之前验证连接性。然后该样本从http://pk-consult[.]hr/N2.jpg下载并执行代码。
图 7. 去混淆的 PowerShell
第二阶段
下载的内容实际上不是 jpeg,而是进一步执行的 PowerShell 代码。可以在下面看到它在内存中解压缩并加载了几个字节数组。
图 8. 第二阶段
可以简单地修改样本,通过注释执行,将字节数组输出到文件中,并将它们写入文件。
图 9. 将字节数组写入文件
Agent Tesla payload
剩下的是$decompressedByteArray中的loader DLL(SHA256:0fd2e47d373e07488748ac63d9229fdef4fd83d51cf6da79a10628765956de7a)和$vhRo中的gzip压缩AgentTesla (SHA256: c684f1a6ec49214eba61175303bcaacb91dc0eba75abd0bd0e2407f3e65bce2a)。Loader DLL 将 Agent Tesla 加载到RegAsm.exe进程中执行。
这个Agent Tesla样本使用FTP并连接到ftp.videoalliance[.]ru进行数据泄露。
结论
攻击者经常寻找与众不同的方式来分发他们的payload。除了常见的文档或脚本分发方法之外,Microsoft 编译的 HTML 文件是另一种可能滥用的文件格式。重要的是,要确保对用户进行培训,使其对任何附件,特别是来自未知发件人的附件保持谨慎。
IoC
3446ec621506d87d372c596e1d384d9fd2c1637b3655d7ccadf5d9f64678681e ORDER OF CONTRACT-pdf.7z
081fd54d8d4731bbea9a2588ca53672feef0b835dc9fa9855b020a352819feaa ORDER OF CONTRACT-pdf.chm
9ba024231d4aed094757324d8c65c35d605a51cdc1e18ae570f1b059085c2454 N2.jpg
0fd2e47d373e07488748ac63d9229fdef4fd83d51cf6da79a10628765956de7a GC.dll
c684f1a6ec49214eba61175303bcaacb91dc0eba75abd0bd0e2407f3e65bce2a Agent Tesla dotNet executable
hxxp://pk-consult[.]hr/N2.jpg
ftp.videoalliance[.]ru
原文链接:
https://unit42.paloaltonetworks.com/malicious-compiled-html-help-file-agent-tesla/
原文始发于微信公众号(维他命安全):恶意HTML帮助文件分发Agent Tesla