1??????? 概述

近期，安天CERT發(fā)現(xiàn)了一起利用惡意Microsoft Excel加載項(xiàng)（XLL）文件投遞Qbot銀行木馬的惡意活動。攻擊者通過發(fā)送垃圾郵件來誘導(dǎo)用戶打開附件中的XLL文件，一旦用戶安裝并激活Microsoft Excel加載項(xiàng)，惡意代碼將被執(zhí)行。隨后，惡意代碼會在用戶主機(jī)上進(jìn)行層層解密，最終釋放出Qbot銀行木馬。

自2023年2月微軟宣布默認(rèn)阻止Office文檔中的宏之后，攻擊者嘗試使用其他類型的文件作為傳播惡意軟件的新型媒介。利用XLL文件傳播惡意文件的網(wǎng)絡(luò)釣魚活動于2021年底開始增多，目前已有Dridex、Qbot、Formbook、AgentTesla等多個惡意代碼家族利用XLL文件進(jìn)行傳播，受害者打開XLL文件時，將啟動Excel，并將XLL文件作為Excel加載項(xiàng)加載執(zhí)行，繞過了Office宏文檔的限制。

Qbot銀行木馬于2008年出現(xiàn)，自2020年4月開始進(jìn)入活躍狀態(tài)，主要通過垃圾郵件進(jìn)行傳播。2021年2月，安天CERT發(fā)布《Qbot銀行木馬2020年活動分析報告》[1]。該銀行木馬在執(zhí)行過程中多次解密，利用加載器加載執(zhí)行惡意功能躲避反病毒軟件的靜態(tài)查殺，利用計(jì)劃任務(wù)實(shí)現(xiàn)自啟動，能夠在受害主機(jī)上獲取屏幕截圖、收集目標(biāo)系統(tǒng)信息和獲取瀏覽器Cookie信息等。攻擊者還能夠利用從用戶處竊取的數(shù)據(jù)實(shí)施后續(xù)的攻擊活動。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實(shí)現(xiàn)對該銀行木馬的有效查殺。

2??????? 事件對應(yīng)的ATT&CK映射圖譜

針對攻擊者投遞銀行木馬的完整過程，安天梳理本次攻擊事件對應(yīng)的ATT&CK映射圖譜如下圖所示：

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

攻擊者使用的技術(shù)點(diǎn)如下表所示：

表 2?1事件對應(yīng)的ATT&CK技術(shù)行為描述表

3??????? 防護(hù)建議

為有效防御此類攻擊事件，提升安全防護(hù)水平，安天建議企業(yè)采取如下防護(hù)措施：

3.1??????? 識別釣魚郵件

（1）???????? 查看郵件發(fā)件人：警惕發(fā)送“公務(wù)郵件”的非組織的發(fā)件人；

（2）???????? 看收件人地址：警惕群發(fā)郵件，可聯(lián)系發(fā)件人確認(rèn)；

（3）???????? 看發(fā)件時間：警惕非工作時間發(fā)送的郵件；

（4）???????? 看郵件標(biāo)題：警惕具備“訂單”、“票據(jù)”、“工資補(bǔ)貼”、“采購”等關(guān)鍵詞的標(biāo)題的郵件；

（5）???????? 看正文措辭：警惕以“親”、“親愛的用戶”、“親愛的同事”等較為泛化問候的郵件；

（6）???????? 看正文目的：警惕以“系統(tǒng)升級”、“系統(tǒng)維護(hù)”、“安全設(shè)置”等名義索取郵箱賬號密碼的郵件；

（7）???????? 看正文內(nèi)容：警惕其中附帶的網(wǎng)頁鏈接，特別是短鏈接；

（8）???????? 看附件內(nèi)容：查看前，須使用防毒軟件對附件進(jìn)行病毒掃描監(jiān)測。

3.2??????? 日常郵箱安全使用防護(hù)

（1）???????? 安裝終端防護(hù)軟件：安裝終端防護(hù)軟件，開啟防護(hù)軟件中對郵件附件的掃描檢測功能，定期對系統(tǒng)進(jìn)行安全檢測，修復(fù)系統(tǒng)漏洞。

（2）???????? 郵箱登錄口令：郵箱登錄口令設(shè)置時確保具備一定復(fù)雜性（包含三種字符元素），確?？诹畈挥涗浻谵k公區(qū)明顯位置，定期修改登錄口令。

（3）???????? 郵箱賬號要綁定手機(jī)：郵箱賬號綁定手機(jī)后，不僅可以找回密碼，還可以接收“異常登錄”的提示短信，即時處置。

（4）???????? 重要文件要做好防護(hù)：

1.??????? 及時清空收件箱、發(fā)件箱和垃圾箱內(nèi)不再使用的重要郵件；

2.????? 備份重要文件，防止被攻擊后文件丟失；

3.????? 重要郵件或附件應(yīng)加密發(fā)送，且正文中不能附帶解密密碼。

（5）???????? 敏感信息要保護(hù)：不要將敏感信息發(fā)布到互聯(lián)網(wǎng)上，用戶發(fā)布到互聯(lián)網(wǎng)上的信息和數(shù)據(jù)會被攻擊者收集。攻擊者可以通過分析這些信息和數(shù)據(jù)，有針對性的向用戶發(fā)送釣魚郵件。

3.3??????? 政企機(jī)構(gòu)防護(hù)

（1）???????? 安裝終端防護(hù)軟件：安裝反病毒軟件，建議安裝安天智甲終端防御系統(tǒng)；

（2）???????? 加強(qiáng)口令強(qiáng)度：避免使用弱口令，建議使用16位或更長的口令，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時避免多個服務(wù)器使用相同口令；

（3）???????? 關(guān)閉PowerShell：若一定時間內(nèi)不使用PowerShell命令行工具，建議將其關(guān)閉；

（4）???????? 部署入侵檢測系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設(shè)備，便于對惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測系統(tǒng)（PTD）以網(wǎng)絡(luò)流量為檢測分析對象，能精準(zhǔn)檢測出已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動，有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類未知威脅；

（5）???????? 安天服務(wù)：若遭受惡意軟件攻擊，建議及時隔離被攻擊主機(jī)，并保護(hù)現(xiàn)場等待安全工程師對計(jì)算機(jī)進(jìn)行排查；安天7*24小時服務(wù)熱線：400-840-9234。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實(shí)現(xiàn)對該銀行木馬的有效查殺。

4??????? 攻擊流程

4.1??????? 攻擊流程圖

攻擊者傳播垃圾郵件，誘導(dǎo)用戶打開附件中的XLL文件（Agreement_487989a_Mar4.xll），Excel執(zhí)行包含惡意代碼的導(dǎo)出函數(shù)xlAutoOpen，惡意代碼解密出后續(xù)的載荷并執(zhí)行，創(chuàng)建進(jìn)程執(zhí)行cmd命令將從資源中解密的XLL文件寫入目標(biāo)文件3.dat中，創(chuàng)建計(jì)劃任務(wù)自動化執(zhí)行最終樣本，最終樣本將自身注入到wermgr.exe進(jìn)程，劫持執(zhí)行流程實(shí)現(xiàn)獲取系統(tǒng)信息、獲取磁盤驅(qū)動信息、獲取屏幕截圖、創(chuàng)建管道監(jiān)視連接、反調(diào)試、判斷環(huán)境中是否存在調(diào)試工具和殺毒軟件進(jìn)程等功能。

?

4.2??????? 利用XLL文件傳播惡意文件

攻擊者向用戶發(fā)送垃圾郵件，誘導(dǎo)用戶打開附件中的XLL文件。

用戶打開XLL文件后，Windows資源管理器將自動啟動Excel打開XLL文件，在加載XLL文件之前，Excel會顯示一條警告，指出可能包含惡意代碼并提示用戶安裝和激活加載項(xiàng)。

就文件類型而言，XLL文件是標(biāo)準(zhǔn)的Windows動態(tài)加載庫（dll）。為了使Excel加載項(xiàng)管理器成功加載XLL文件，XLL文件必須實(shí)現(xiàn)至少一個導(dǎo)出函數(shù)（稱為xlAutoOpen），以便在Excel加載XLL文件時調(diào)用代碼。攻擊者通常將惡意代碼置于xlAutoOpen函數(shù)中，該函數(shù)會在加載項(xiàng)被激活時立即觸發(fā)執(zhí)行。這意味著，與要求用戶啟用宏的VBA宏不同，受害者只要打開XLL文件就會執(zhí)行惡意代碼[2]。

5??????? 樣本分析

攻擊者通過發(fā)送垃圾郵件來誘導(dǎo)用戶打開附件中的XLL文件，一旦用戶安裝并激活Microsoft Excel加載項(xiàng)，惡意代碼將被執(zhí)行。隨后，惡意代碼會在用戶主機(jī)上進(jìn)行層層解密，最終釋放出Qbot銀行木馬。

Qbot銀行木馬具有在受害主機(jī)上獲取屏幕截圖、獲取目標(biāo)系統(tǒng)信息、獲取瀏覽器Cookie信息等功能。銀行木馬在執(zhí)行過程中通過多層解密、利用加載器加載解密文件躲避反病毒軟件的靜態(tài)查殺、利用計(jì)劃任務(wù)實(shí)現(xiàn)自啟動、最終實(shí)現(xiàn)搜集和監(jiān)控等惡意行為，將敏感數(shù)據(jù)按照攻擊者的需求進(jìn)行傳輸，攻擊者還能夠利用從用戶處竊取的數(shù)據(jù)實(shí)施后續(xù)的攻擊活動。

5.1??????? 樣本標(biāo)簽

表 5?1樣本標(biāo)簽

Agreement_487989a_Mar4.xll文件執(zhí)行后會從內(nèi)存中循環(huán)解密出加載器和一個dll文件，解密算法如下圖。

加載器在內(nèi)存中加載執(zhí)行dll文件。

5.3??????? 第二層代碼-dll文件

dll文件搜索資源數(shù)據(jù)并加載到內(nèi)存中解密，創(chuàng)建1.dat、2.dat文件，將解密出的數(shù)據(jù)前400字節(jié)寫入1.dat文件，剩余字節(jié)寫入2.dat文件。

dll文件解密并拼接出命令，創(chuàng)建進(jìn)程執(zhí)行命令。其功能為讀取1.dat、2.dat文件內(nèi)容寫入到3.dat中，利用rundll32.exe執(zhí)行3.dat文件導(dǎo)出函數(shù)xlAutoOpen。根據(jù)導(dǎo)出函數(shù)可知3.dat文件也是XLL文件。

dll文件獲取系統(tǒng)時間，解密并拼接出命令，創(chuàng)建進(jìn)程執(zhí)行命令。其功能為使用schtasks.exe將3.dat添加到計(jì)劃任務(wù)，任務(wù)名設(shè)置為QQQ。

5.4??????? 第三層代碼-3.dat

3.dat文件是XLL文件，通過rundll32.exe調(diào)用xlAutoOpen函數(shù)執(zhí)行，與Agreement_487989a_Mar4.xll相似，xlAutoOpen函數(shù)都利用多次循環(huán)異或解密出加載器和一個dll文件，加載器將dll文件在內(nèi)存中展開，修改重定位表，修改導(dǎo)出表，跳轉(zhuǎn)到dll導(dǎo)出函數(shù)執(zhí)行，與原始樣本不同的是，原始樣本的加載器存在大量混淆。將解密出的pe文件dump下來命名Qbot.dll，后續(xù)分析報告中都使用此命名。

5.5??????? 第四層代碼-Qbot.dll

Qbot.dll文件主要執(zhí)行以下幾個功能：反調(diào)試、獲取系統(tǒng)信息、查詢殺毒軟件進(jìn)程、重啟進(jìn)程、將自身代碼注入到wermgr.exe進(jìn)程執(zhí)行核心模塊。

通過NtCurrentPeb獲取peb，利用BeingDebugged成員進(jìn)行反調(diào)試。如果存在調(diào)試器則修改key，影響樣本的解密函數(shù)。

Qbot銀行木馬獲取訪問令牌中的組成員身份。

Qbot銀行木馬判斷當(dāng)前進(jìn)程是否為管理員權(quán)限。

Qbot銀行木馬獲取進(jìn)程的RID信息，如果RID<0x2000，含義為不受信任或低完整性。

當(dāng)RID<0x2000時，Qbot銀行木馬獲取版本信息、環(huán)境變量信息、計(jì)算機(jī)名等系統(tǒng)信息。

Qbot銀行木馬枚舉當(dāng)前系統(tǒng)進(jìn)程，查詢是否有諸如ccSvcHst.exe、NortonSecurity.exe、nsWscSvc.exe、avgcsrvx.exe、avgsvcx.exe等殺毒軟件進(jìn)程。

Qbot銀行木馬解密出殺毒軟件進(jìn)程字符串。

Qbot銀行木馬檢測自身運(yùn)行權(quán)限，獲取一個管理員權(quán)限的當(dāng)前窗口的句柄，以管理員權(quán)限重啟進(jìn)程。

Qbot銀行木馬以掛起的方式創(chuàng)建wermgr.exe進(jìn)程。

Qbot銀行木馬將自身注入到wermgr.exe進(jìn)程中，修改重定位表，調(diào)用GetThreadContext函數(shù)獲取入口函數(shù)地址。

wermgr.exe進(jìn)程主要實(shí)現(xiàn)以下幾個功能：獲取磁盤驅(qū)動信息、創(chuàng)建多個子線程并將這些子線程的優(yōu)先級設(shè)置為低于正常、反調(diào)試、動態(tài)獲取加密相關(guān)函數(shù)、屏幕截圖、創(chuàng)建命名管道并監(jiān)視、與C2服務(wù)器建立連接回傳數(shù)據(jù)等功能。

wermgr.exe進(jìn)程獲取磁盤驅(qū)動信息。

wermgr.exe進(jìn)程獲取系統(tǒng)所有賬戶名稱。

wermgr.exe進(jìn)程創(chuàng)建子線程，當(dāng)子線程啟動時，將線程優(yōu)先級設(shè)置為低于正常值。

wermgr.exe進(jìn)程枚舉當(dāng)前系統(tǒng)進(jìn)程，查詢是否有諸如Fiddler.exe、Autoruns.exe等分析工具。判斷是否存在調(diào)試器，若判斷存在調(diào)試器則對解密算法的KEY進(jìn)行異或操作。

wermgr.exe進(jìn)程解密出分析工具進(jìn)程字符串。

wermgr.exe進(jìn)程利用BitBlt等API獲取屏幕截圖。

wermgr.exe進(jìn)程創(chuàng)建命名管道\\\\.\\pipe\\%ssp，當(dāng)此管道被連接時，創(chuàng)建子線程來監(jiān)視和處理數(shù)據(jù)。

wermgr.exe進(jìn)程從資源中解密得到以下IP地址和端口，用于構(gòu)建通信隧道。

表 5?1解密后的IP地址和端口

?

6??????? 總結(jié)

自2023年2月微軟宣布默認(rèn)阻止Office文檔中的宏之后，攻擊者轉(zhuǎn)變投遞惡意文件的方式，將XLL文件作為一種傳播惡意文件的新型媒介。攻擊者向用戶發(fā)送垃圾郵件，誘導(dǎo)用戶打開附件中的XLL文件執(zhí)行惡意代碼，從而在用戶主機(jī)上運(yùn)行銀行木馬、遠(yuǎn)控木馬等惡意軟件。

在此建議用戶不要輕易相信未知郵件中的內(nèi)容，對郵件的來源進(jìn)行確認(rèn)，并警惕郵件中具有誘導(dǎo)性的內(nèi)容。安天CERT將持續(xù)關(guān)注攻擊者的新型攻擊手段，并對相關(guān)攻擊活動進(jìn)行深入分析與研究。

7??????? IoCs

參考資料

[1]???? Qbot銀行木馬2020年活動分析報告

https://www.antiy.cn/research/notice&report/research_report/20210206.html

[2]???? Threat Spotlight: XLLing in Excel - threat actors using malicious add-ins

https://blog.talosintelligence.com/xlling-in-excel-malicious-add-ins/

?