本文旨在揭示目前各种网络犯罪分子滥用的一些技术细节,以帮助企业,安全运营商和行业减轻其影响。
技术分析
我们将重点介绍网络犯罪分子和威胁组织目前用于逃避最近三种情况检测的一些技术:前两种情况与Office文档有关,Office文档用于隐藏恶意有效负载并诱使用户打开它们。感染;第三种情况涉及二进制有效载荷,它通过滥用代码签名技术来规避传统的安全控制技术。
表1.样本信息
在我们分析的第一个案例中,攻击者使用“损坏的”文档诱骗用户选择“恢复原始文件”并在没有警告的情况下下载恶意负载。在此示例中,攻击者利用漏洞CVE-2017-0199,该漏洞允许在打开时从任意代码下载并执行文档,“hxxps: //www.protectiadatator [.biz/js/Oj1/smile.doc '外部引用远程代码并执行它,如下图所示。
图1.样本中的外部资源
通常,当您打开这样的武器化文档时,会弹出如下所示的窗口,警告用户存在指向外部文件的链接。
图2.弹出警告
看到此警告的用户在选择删除文件后可以避免感染,但攻击者会巧妙地删除文档中的某些字节,使警告窗口的内容不同,并且不会影响攻击行为。
图3.损坏的文件
用户打开文档后,MS Word显示“文档已损坏,请确认是否恢复”,导致用户选择恢复。
图4.弹出窗口报告无法打开文档
单击“是”后,MS Word将自动恢复文件内容并启动漏洞利用。这将下载并执行攻击者已放置的有效负载。 2.使用Office Developer Mode隐藏有效负载第二个技巧是隐藏MS Office开发人员控制对象中的有效负载,这通常对最终用户不可见。事实上,在大多数Office安装中,默认情况下禁用开发人员选项卡,因此识别异常对象的存在可能会更加困难。恶意文件打开如下所示。
图5.经典的网络钓鱼文档
查看宏代码分析显示实际有效负载隐藏在名为“Kplkaaaaaaaz”的对象中。
图6.文档中嵌入的部分宏代码
在用户启用宏之后,隐藏对象显示为小文本框(图7),其实际上是Base64编码的有效载荷。
图7.文档的修改视图
图8.提取的有效负载
通过此策略,恶意软件作者将可识别的有效负载移动到更难以检测的区域,在静态分析期间检测到的概率较低。
3.伪造签名
网络犯罪分子滥用的另一项技术是“证书欺骗”,这种技术可以让恶意软件轻易绕过某些反病毒引擎。攻击者通过某些渠道潜入恶意软件,并将恶意软件伪装成合法的。我们在前一篇文章《TA505武器之隐形电子邮件窃取器》中对此进行了描述。有时甚至无效的证书足以实现攻击目标,例如最近的Ursnif攻击。
图9. Ursnif样本上的欺骗签名
使用证书欺骗技术,攻击者可以使用来自任何网站的任何证书对任何可执行文件进行签名。作为一个研究案例,我们使用赛门铁克网站证书签署已知的Emotet二进制文件,如下所示。
表2.样本信息
表3.样本信息
图10.具有伪证书的样本之间的比较
Microsoft SignTool工具可以检测到文件签名无效。
图11. SignTool检查报告显示证书无效
但是,这种技术将VirusTotal检测率从36降低到20,甚至Symantec AV也没有将样本检测为恶意!然而,Chronicle Security也表示,Virustotal不是“不同防病毒产品之间的比较指标”,因此这一结果并不意味着Virustotal的适用性大大降低。确切地说,Virustotal提供了关于内部检测机制的线索,显示了攻击者如何绕过某些识别逻辑,而不是整个AV解决方案。
图12.证书添加导致检测率降低
对两个示例的分析表明,添加证书不会影响恶意软件的功能,因此不会影响其行为。
图13.比较带或不带证书的样本
结论
我们在本文中展示的三种技术只是威胁演员绕过的一些技术。今天,即使这些技术众所周知,它们也可以有效地降低检测率并达到犯罪分子的目标。我们希望企业和行业能够进一步加强对这些技术的关注。网络安全人员和网络犯罪分子就像猫和老鼠互相竞争。只有不断提高自己的水平,才能提高攻击的门槛和成本。