一、概述

近日，發(fā)現(xiàn)了一起惡意文檔釋放Python編寫的遠控木馬事件。通過文檔內(nèi)容中涉及的組織信息和其中攻擊者設(shè)置的誘導提示，該事件是一起針對阿塞拜疆共和國國家石油公司進行的定向攻擊活動。此次事件中，攻擊者充分利用技術(shù)實現(xiàn)規(guī)避反病毒軟件查殺，具體為利用了隱寫術(shù)將遠控木馬相關(guān)文件以壓縮包格式存儲于惡意文檔里的圖片中以備后期提取利用。首先將該惡意文檔另存為docx文件，該文件格式具備ZIP文件的特性，然后另存為ZIP格式進行解壓并獲取其中的圖片，最后提取圖片中的遠控木馬文件。此遠控木馬采用Python語言編寫，具備一般遠控的上傳、下載和命令執(zhí)行等功能。

二、事件對應(yīng)的ATT&CK映射圖譜

本報告中涉及事件為攻擊者針對目標系統(tǒng)投放惡意文檔，釋放并運行遠控木馬。通過梳理該事件對應(yīng)的ATT&CK映射圖譜，揭示攻擊者在該事件中使用的技術(shù)點，如下圖所示：

圖 2?1此次攻擊活動的ATT&CK映射圖譜

具體的ATT&CK技術(shù)行為描述如下表所示：

表 2?1事件對應(yīng)的ATT&CK技術(shù)行為描述表

三、樣本分析

1. 樣本標簽

表3?1樣本標簽

2. 樣本運行流程

當惡意文檔中的宏代碼運行后，存在兩個自動執(zhí)行函數(shù)，在不同狀態(tài)下觸發(fā)執(zhí)行。一個是當文檔狀態(tài)處于打開時觸發(fā)執(zhí)行，通過創(chuàng)建目錄、拷貝、另存ZIP格式、解壓等操作獲取嵌入圖片中的Python編寫的遠控木馬；另一個是當文檔狀態(tài)處于關(guān)閉時執(zhí)行，調(diào)用shell以隱藏窗口的方式執(zhí)行bat遠控啟動腳本，進而運行遠控木馬腳本，該腳本主要功能為釋放vbs腳本文件（內(nèi)容為調(diào)用bat遠控啟動腳本），并以該腳本為載體創(chuàng)建計劃任務(wù)，同時建立循環(huán)加載配置文件與C2建立連接，獲取指令，執(zhí)行對應(yīng)操作。

圖 3?1宏代碼創(chuàng)建和釋放的相關(guān)文件

圖 3?2樣本運行流程

3. 惡意文檔分析

樣本為一個具有惡意宏代碼的Word文檔，從內(nèi)容上看，是以SOCAR公司的名義偽造的一份“關(guān)于分析用催化劑的出口”的文檔，同時利用模糊效果和提示信息的手段，誘騙目標通過點擊“啟動宏”按鈕的方式可查看文檔詳細內(nèi)容。SOCAR是阿塞拜疆共和國國家石油公司的簡稱，結(jié)合文檔內(nèi)容，判斷這是一起針對阿塞拜疆共和國國家石油公司員工的惡意文檔投遞活動。

圖 3?3文檔內(nèi)容

通過提取文檔中的宏代碼分析，主要有兩個觸發(fā)操作的函數(shù)“Document_Open()”和“Document_Close()”，同時該宏代碼存在大量混淆。

將“rqxjx”、“RXQYE”、“_RXQYE_20210329_092748_rqxjx_”字符大量嵌入到自定義變量和函數(shù)中，能夠在一定程度上規(guī)避反病毒軟件和干擾分析工作。

圖 3?4自動執(zhí)行的相關(guān)函數(shù)

圖 3?5混淆的宏代碼

解混淆后，從Document_Open()函數(shù)中可以看到其中定義了一些文件路徑變量，通過MyFunc23函數(shù)解密相關(guān)路徑，依據(jù)這些變量創(chuàng)建相應(yīng)目錄和文件，同時提取惡意文檔中利用隱寫術(shù)保存于圖片中的遠控木馬相關(guān)文件。

圖 3?6 Document_Open函數(shù)內(nèi)容

表3?2變量信息

圖 3?7 Python編寫的遠控相關(guān)文件

Document_Close函數(shù)功能為以隱藏方式運行遠控木馬啟動腳本，腳本文件即為“C:\Users\MA\AppData\Roaming\nettools48\”目錄下的runner.bat文件。該腳本文件初始設(shè)置了一定時間的延遲，而后運行當前文件夾下的遠控木馬腳本“vabsheche.py”。

圖 3?8運行遠控木馬啟動腳本

腳本內(nèi)容如下：

遠控木馬腳本內(nèi)容主要分為三部分:

4.釋放的遠控木馬分析

第一部分定義了多個系統(tǒng)判斷函數(shù)，包括Windows、Linux和Mac OS X，同時讀取C2地址配置文件，獲取對應(yīng)域名和端口。從系統(tǒng)判斷函數(shù)上看，雖然本次發(fā)現(xiàn)的腳本中只調(diào)用了Windows系統(tǒng)判斷函數(shù)，且后續(xù)內(nèi)容只能在Windows系統(tǒng)上執(zhí)行，但是不排除攻擊者后期會開發(fā)針對Linux和Mac OS X系統(tǒng)的腳本。

圖 3?9遠控腳本第一部分內(nèi)容

第二部分定義一個task_registration函數(shù)，主要功能為將啟動腳本runner.bat的路徑寫入vbs腳本中，實現(xiàn)vbs腳本調(diào)用運行遠控，而vbs的調(diào)用，是通過調(diào)用schtasks命令創(chuàng)建計劃任務(wù)，實現(xiàn)每三十分鐘運行一次vbs腳本。最后以Windows系統(tǒng)判斷函數(shù)運行結(jié)果來觸發(fā)task_registration函數(shù)。

圖 3?10遠控腳本第二部分內(nèi)容

最后一部分功能是C2命令處理過程，具體如下：通過同目錄下的證書文件“cert.pem”結(jié)合前期獲取的域名和端口，同C2建立連接，獲取C2返回信息。

圖 3?11連接C2代碼

在整體代碼上添加了循環(huán)和容錯處理，如果連接成功，則解析C2返回的信息，依據(jù)特定數(shù)據(jù)，執(zhí)行不同的指令操作；連接失敗，則延遲120秒，繼續(xù)嘗試連接C2，持續(xù)運行此過程。遠控木馬C2地址：pook.mywire.org 端口：220。

表3?3遠控木馬指令表

四、總結(jié)

由于該遠控木馬是用Python編寫，對應(yīng)文件具備腳本文件特性，其實質(zhì)文件格式為文本文件，相較于PE文件，這種文件格式在一定程度上能夠降低被反病毒軟件查殺的可能性，同時結(jié)合遠控木馬VT檢測結(jié)果，安天CERT認為這種腳本形式的遠控木馬將會更加頻繁的被攻擊者使用，甚至結(jié)合混淆編碼進行使用。