黑客利用Windows新後門攻擊俄羅斯企業

E安全8月10日訊 Trend Micro（趨勢科技）發文稱，一起針對俄羅斯企業的惡意電子郵件攻擊活動活躍至少兩個月，惡意分子利用基於Windows的新後門發起攻擊。這起攻擊依賴各種漏洞利用和Windows組件運行惡意腳本，以加重檢測和防禦難度。

2017年6月6日VirusTotal收到攻擊的最早樣本。6月23日至7月27日，Trend Micro發現5起垃圾郵件活動。專家認為，這起攻擊活動將會持續。

Trend Micro表示，攻擊目標包括金融機構（例如銀行）和礦業公司。Trend Micro的研究人員注意到，攻擊者發送不同的針對性電子郵件將策略多樣化。電子郵件是社會工程誘餌一大特色，由於其散布範圍受限，因此被用來實施魚叉式網路釣魚攻擊。

惡意郵件活動如何發起攻擊

這些看似來自銷售與開票部門的電子郵件實則包含惡意富文本格式（RTF）文件，該文件正是利用了Microsoft Office Windows對象鏈接與嵌入（OLE）介面中的漏洞CVE-2017-0199，該漏洞已於4月修復，但Cobalt和CopyKittens等攻擊者仍在濫用該漏洞，前端時間的Petya勒索病毒也是利用的該漏洞。

一旦執行漏洞利用代碼，便會下載內嵌惡意JavaScript 的虛假XLS文件。一旦打開XLS文件， xcel文件頭會被忽略， Windows組件mshta.exe會將該文件視作HTML應用程序文件。

JavaScript代碼會調用odbcconf.exe正常可執行文件，此文件會執行各種與Microsoft數據訪問組件（Microsoft Data Access Components）有關的任務，以此運行DLL。一經執行，DLL會在%APPDATA%文件夾內丟下一個文件，並附加.TXT擴展名，雖然這是一個用來聲明變數、定義表達式並在網頁中添加功能代碼的SCT文件（Windows腳本小程序），但卻帶有惡意的混淆JavaScript。

DLL會調用Regsvr32（Microsoft註冊伺服器）命令行公用程序執行特定參數。

Squiblydoo首次與odbcconf.exe結合

以上這種攻擊方法也被稱為「Squiblydoo」。即濫用Regsvr32繞過運行腳本上的限制，躲避應用程序白名單保護。越南黑客組織APT32先前就曾利用這種方法發起攻擊。

Trend Micro指出，雖然Squiblydoo是已知的攻擊途徑，但與odbcconf.exe結合使用還是首次。

接下來，從域名wecloud[.]biz下載的另一個XML文件便會執行命令。這個XML文件是這起攻擊使用的主要後門，使用相同的Regsvr32濫用Squiblydoo攻擊技術加以執行。

該後門是一個帶有混淆JavaScript代碼的SCT文件，支持執行命令，允許攻擊者接管被感染的系統。這個後門設法連接到hxxps://wecloud[.]biz/mail/ajax[.]php的命令與控制（C&C）伺服器，並檢索任務。

這款惡意軟體可以根據接收的命令下載並執行Portable Executable（PE）文件，刪除文件/啟動條目並終止、下載額外的/新腳本，運行新腳本並終止當前腳本，或運行Shell命令。

Trend Micro指出，雖然感染鏈的後續步驟要求使用各種Windows組件，但切入點仍包含使用Microsoft Office漏洞。用戶可以通過打補丁、更新軟體預防這種攻擊威脅，或使用防火牆、入侵檢測與防禦系統、虛擬補丁和URL分類等方式，此外還應實施強有力的補丁管理政策以減少系統的攻擊面。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱[email protected]

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。