步骤分析
近日,国外安全厂商McAfee和FireEye发现了一个针对银行的木马,该木马利用了一个Office零日漏洞发起攻击,危害性非常高,经过安恒研究院分析步骤如下:
1. 一个伪装为DOC后缀实则是RTF文件里包含了一个使用十六进制编码的 “OLE2Link”的对象,该对象包含了一个恶意的远程URL。用户打开文档执行的Winword.exe会远程下载该文件:
2. 该下载的doc实则是个变形的RTF文件,头部插入大量的回车。但因包含vbscript块会被Winword.exe调用application /hta运行处理:
操作1:将当前异常窗口移动到坐标-2000,-2000;
操作2:结束Winword.exe进程;
操作3:从“http://212.86.115.71/sage50.exe”下载并保存为“%appdata%MicrosoftWindowsStart MenuProgramsStartupwinword.exe”,并运行;
操作4:从“http://212.86.115.71/Transactions.doc”下载并保存为“%temp%document.doc”;
操作5:修改注册表项“HKCU:SoftwareMicrosoftOffice15.0WordResiliency”,防止文件恢复提示;
操作6:打开下载的“%temp%document.doc”,显示诱饵文件掩盖系统异常。
该诱饵文件显示为:
网银木马分析
sage50.exe为网银木马Dridex,可被安恒APT产品直接检测:
防护建议
针对此类攻击通常基于签名的检测方式很难识别,通过APT的恶意文件沙箱分析技术,可定位利用文件进行攻击的攻击进行,包括各种0day的攻击。安恒APT产品内置动态沙箱分析技术发现文件中的恶意行为,内部虚拟机可实现完全模拟真实桌面环境,所有恶意文件的注册表行为、敏感路径操作行为、进程行为、导入表信息、资源信息、段信息、字符串信息及运行截图等行为都将被发现,综合分析这些恶意行为,判断其中的可疑操作。
通过APT在行为分析方面的优势,通过沙箱分析网络中传输恶意文件的敏感行为,将行为分析结果同步FW、WAF等产品,一旦发现内网主动向外发起C&C连接,且发送数据量与接收数据量不对称,立即对该敏感行为进行阻断,实现对未知威胁的联动防护。
- END -
