【技术分享】针对蒙古政府的鱼叉式钓鱼攻击分析-安全客

预估稿费：120RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

前言

FireEye近期观察到一个针对蒙古政府雇员的复杂攻击行动。受害者在被Poison Ivy感染的恶意微软Word 文档中启用了宏脚本（Poison Ivy是一款使用了快十年的远程控制工具，可以进行键盘记录，截屏，录像，窃取文件、密码及远程控制等恶意行为）。这次攻击的背后黑手采用了如下有意思的技巧：

1、定制化的绕过策略 –此次行动采用了公开的技巧绕过了目标系统中的AppLocker应用白名单机制。

2、非常少的可执行文件及持久化维护-一般幕后的攻击者会尽量少的在磁盘上创建可执行文件以避免检测和调查取证。这次行动中我们观察到了使用PowerShell scripts的四个阶段。

3、诱饵文件-攻击者使用PowerShell脚本从互联网下载最初的恶意文件，然后通过一个单独的微软Word 文档加载这个文件以避免受害者的怀疑。

攻击链

攻击者首先使用社会工程引诱受害者运行微软Word文档里嵌入的宏指令，然后加载恶意的Powershell攻击向量。

攻击者采用了两个公开的技巧，一是AppLocker的白名单绕过技术，另一个是通过脚本注入shellcode到userinit.exe进程。恶意攻击向量都是通过多个PowerShell传播的，这使得跟踪它们很难，因为不同于写到磁盘里的单独脚本文件，PowerShell攻击向量都是存储在注册表里的。

下图展示了从恶意宏指令执行攻击向量的步骤：

第一阶段：社会工程和宏指令- PowerShell的使用

受害者首先会收到邮件发来的Word文档，这些文档伪装成登录到webmail系统的指导手册或者政府法律提案信息。当受害者打开恶意文档后，他们会看到要求启用宏指令的信息：

绕过AppLocker的应用白名单保护

微软的白名单解决方案AppLocker可以阻止在系统上运行未知的可执行文件。但是在2016年4月，研究者发现通过regsvr32.exe可以绕过限制。regsvr32.exe是一个可在很多AppLocker策略中运行的合法文件。regsvr32.exe可用于下载一个SCT文件并作为参数绕过SCT文件中的URL限制。

我们观察到攻击者通过执行宏代码调用regsvr32.exe来绕过这个限制（同时传入的还有一个托管恶意SCT文件的URL）。

下图展示了绕过AppLocker的完整命令行参数。

我们发现恶意的SCT文件通过隐藏模式调用WScript并硬编码加载PowerShell脚本。

第二阶段：解码SCT，加载诱饵

解码PowerShell命令后，我们观察到有两个目的的另一层PowerShell指令。

1、这里面包含了下载诱饵文件并通过第二个winword.exe打开诱饵文件的代码。当受害者启用宏代码，他们就会看到如下的文档，文档里包含了钓鱼邮件里描述的内容。

2、加载完诱饵文件后，PowerShell脚本会下载并运行一个名为f0921.ps1的PowerShell脚本。

第三阶段

第三阶段的PowerShell脚本配置了一个永久的base64编码的PowerShell脚本命令，并保存在HKCU: ConsoleFontSecurity注册表键值中。

第三阶段的PowerShell脚本同时也配置了一个名为HKCUCurrentVersionRunSecurityUpdate的注册表键值，用来加载存在HKCU: ConsoleFontSecurity 键值里的PowerShell攻击向量。（下图展示了一些相关代码，它们会在用户登录系统的时候执行）。