旧瓶新酒:垃圾邮件里的恶意附件的几种新的文件类型

阅读量    36251 |   稿费 200

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

随着网络安全防御技术的进步,网络犯罪者们在恶意软件方面也变得越来越富有创造力了。我们最近发现在一些垃圾邮件里包含的恶意附件开始出现了新的文件类型。垃圾邮件仍然是网络攻击者的最爱—这种古老的感染媒介占据了全世界百分之48的垃圾邮件流量。

在2017年的年度报告里,我们发现垃圾邮件里的最常见的恶意附件类型分别为 .XLS, .PDF, .JS, .VBS, .DOCX, .DOC, .WSF, .XLSX, .EXE, 和.HTML文件。但是网络罪犯们仍在扩展它们使用的文件类型。下面详细展示了攻击者们如何以全新的方式使用旧的文件类型,以此来逃过垃圾邮件过滤器的检查。

 

.ARJ和.Z文件

ARJ,全称为 “Archived by Robert Jung”,是一种和.ZIP文件类似的出现在90年代的压缩文件类型,不同的是,它后来并没有变得像.ZIP格式一样受欢迎。尽管在2014年我们就发现了通过垃圾邮件发送.ARJ格式的恶意附件的现象,但是我们最近发现发送给用户的.ARJ格式的恶意附件数量在激增。最近,我们在趋势科技云安全智能防护网络中检测到了近7,000个在ARJ中压缩的恶意文件。

图1.具有恶意.ARJ文件附件的垃圾邮件活动的感染链

图2.带有.ARJ文件附件的垃圾邮件的屏幕截图

我们最近发现了一个小型垃圾邮件广告类型,专门用于分发恶意.ARJ文件。其中一些垃圾邮件包含与声明或采购订单相关的电子邮件主题,例如“余额参考表”,“New Order-Snam Thai Son Group//PO//Ref 456789”和“SUBJECT:来自Chartered银行的建议”等等。

当.ARJ文件被下载到硬盘后,它可能会解压出一个可执行文件或是可执行的屏幕保护程序。

图3. .Z文件内容的截屏

早在2014年 ,一旦成功解压缩到系统中,带有.ARJ文件附件的垃圾邮件活动就会将受感染的计算机作为可用于垃圾邮件或拒绝服务攻击的僵尸网络的一部分。 最近,部分有效负载实际是一种可窃取系统信息以及来自浏览器的用户名和密码后门(由趋势科技检测为TROJANSPY.WIN32.GOLROTED.THAOOEAH )。 此恶意软件还会尝试从多个电子邮件服务平台窃取存储的电子邮件凭据。

网络罪犯也经常滥用.Z文件。.Z文件是一种Unix-based的文件类型,虽然现在已经被更受欢迎的GNU GZip压缩格式代替了。然而由于它有双重扩展名(例如.PDF.z),导致用户可能会认为他们是在打开一个PDF文件而不是一个.Z文件。

图4.伪造的采购订单的屏幕截图,其中附件为.Z扩展名的文件

与.ARJ文件相类似,.Z的压缩文件里面可能也包含一个.exe文件或是可执行的屏幕保护程序。

我们发现了一个带有.Z文件附件的垃圾邮件广告系列,该附件带有后门负载(趋势科技检测为BACKDOOR.WIN32.REMCOS.TICOGBZ ),可以打开,重命名,上传和删除被感染的计算机中的文件,并记录击键,甚至使用计算机的相机和麦克风捕捉图像和声音。 安全研究人员还发现了一个垃圾邮件活动 ,该活动在今年早些时候通过.Z文件附件将DarkComet RAT发送给了潜在的受害者。

 

.PDF文件

利用.PDF文件来分发恶意软件的方式并不是什么新鲜事。事实上,在今年早些的时候我们发现有一个邮件活动利用.PDF文件来部署下载器和后门。随着技术的革新,网络罪犯们似乎也急于在他们的代码中使用已知的成功的技术。最近,我们发现网络罪犯们在.PDF附件中内嵌.IQY和.PUB文件。

当附件被下载后,恶意软件会通过JavaScript来执行.IQY和.PUB文件。

图5.在JavaScript中执行的扩展名为.IQY和.PUB的文件的屏幕截图

此JavaScript代码使用exportDataObject函数导出和启动恶意软件,该活动由由“nLaunch”指定,而导出的对象或文件由“cName”指定。“nLaunch = 2”函数表示恶意文件将在启动之前保存在%TEMP%目录中 。

图6.使用嵌入了.PUB的.PDF文件的恶意活动的感染链

 

.IQY文件

Internet查询文件(IQY)作为感染媒介受到了滥用MS Excel的动态数据交换(DDE)功能来分发FlawedAmmyy RAT的Necurs垃圾邮件活动的欢迎。它最近的流行使得该方法(即用.IQY文件作为感染向量)变得更常见了。

在2018年8月15日,我们发现了一个垃圾邮件活动,其中分发了一个带有.IQY文件的.PDF。 趋势科技的云安全智能防护网络(SPN)仅在印度就检测到超过58,000次点击,包括越南,美国,中国和德国在内的国家均有点击。

图7.恶意垃圾邮件活动的感染链,通过滥用.PDF文件中嵌入的.IQY文件来分发Marap木马

垃圾邮件活动中用的内嵌.IQY文件的.PDF文件的截图

我们最近还发现了.IQY在日本被用来发布BEBLOH或URSNIF恶意软件。

 

.PUB

如今的垃圾邮件活动已经不再围绕在传统的文档中使用恶意宏的方式,因此网络罪犯们不得在使用比较少见的文档类型上下重注。在8月份的恶意邮件浪潮中我们发现使用了一个特殊的Microsoft办公应用程序,MS Publisher。就像内嵌的.IQY文件一样,当你打开publisher文件时,会运行其中包含的恶意宏文件。

图9.内部带有恶意宏代码的.PUB文件的屏幕截图

在2018年8月21日,我们收到了有关垃圾邮件活动的SPN反馈,该活动分发了嵌入了恶意.PUB文件的.PDF附件。 根据我们的检测发现大部分被袭击者来自印度,占检测总数量的73%以上,其次是英国,占11%。 在越南,台湾,中国,土耳其和美国也发现了一些来自此活动的垃圾邮件。

 

SettingContents-ms

随着win10的发布,微软发布了一种名为SettingContent-ms的新的文件类型。这种文件主要包含了一些windows功能的设置的内容,以及创建旧的windows控制面版的快捷方式。网络罪犯们没有花多少时间就把这些功能内嵌到Microsoft office应用程序中去了。七月初的垃圾邮件活动表明,网络罪犯正通过把恶意的SettingContent-ms文件内嵌到PDF文档中来分发FlawedAmmyy远程访问木马。

图10.使用嵌入了JavaScript代码和SettingContent-ms文件的恶意.PDF分发FlawedAmmyy RAT的恶意垃圾邮件活动的感染链

最近, 一些垃圾邮件活动和概念验证研究表明,如果使用恶意文件替换DeepLink标记下的命令行,可以很容易的滥用SettingContent-ms文件。

 

防范垃圾邮件活动中不断发展的恶意软件

网络安全威胁正在不断进化,网络中的敌人也在变得越来越有创造力,例如使用古老的或很少见的文件类型将恶意软件分发给毫无戒心的用户。虽然大部分网络安全解决方案可能无法每次都提供及时保护,但威胁防御的多层方法可以更有效地检测和保护端点和系统免受每个垃圾邮件活动不同级别的恶意软件的攻击。

网络犯罪分子利用他们的时间和资源,通过改变规则 – 以及垃圾邮件活动的面貌来试图打败网络安全防御。 网络安全防御需要始终领先于规则,防范各个阶段的威胁,保护用户免受在线危险的影响,使得企业能够顺利,高效地运作。

 

IOC(SHA256)

.Z附件

a22ede52f14be480dd478fa0ec955b807e4b91a14fbe1b5d46c07bbb5cacccbb

.ARJ附件

d5f4d2def36c54cd404742fe40583fa5805e55aa687063f9cd92bfd7378f7dc4

内嵌.PUB的.PDF文件

.PDF -Dd45ab22c16b843a8755f859103f4509fcbbd2da5d837e622cb37a16e53c8cc3

.PUB – 38066350f0ad3edfa2ccf534f51ad528b8bac6e8f1a2a5450556a33fdf345109

Payload (BKDR_FLAWEDAMMYY.EB) – eeae4955354e07e0df2c5ca3bdc830f6758c11ba185511ef4b3d82a9c1253e63

内嵌.IQY的.PDF文件

.PDF – B2b2ec71154a551b1af2cfc1611a6ed59821917c0c930ea6f737c586ecdfa147

.IQY – 3fd386172636a5c5b471d89c23e4d24cc36d42c90975245ab1a6525e7895fc57

Payload – 996053ee305ee730f4095d9ee71447dd72815083c8cdf98e048f41185cf2b1d1

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多