1??????? 概述

近期，安天CERT監(jiān)測到一起利用OneNote文檔投遞Snake Keylogger竊密木馬的網(wǎng)絡(luò)釣魚活動。攻擊者向用戶發(fā)送釣魚郵件，誘導(dǎo)用戶打開附件中的OneNote文檔，執(zhí)行OneNote文檔中隱藏在圖片下方的惡意文件，從而在用戶主機(jī)上運(yùn)行Snake Keylogger竊密木馬。

自從微軟宣布默認(rèn)阻止Office文檔中的宏之后，攻擊者嘗試使用其他類型的文件作為傳播惡意軟件的新型媒介。利用OneNote文檔傳播惡意文件的網(wǎng)絡(luò)釣魚活動于2022年底開始增多，目前已有多個(gè)惡意代碼家族利用OneNote文檔進(jìn)行傳播活動，包括Snake Keylogger、AsyncRAT、QBot、Emotet、IcedID、Formbook、RedLineStealer、AgentTesla等。攻擊者通常會在OneNote文檔中插入一張模糊的或者與釣魚郵件主題相關(guān)內(nèi)容的圖片，誘導(dǎo)用戶雙擊圖片中的指定部分進(jìn)行查看，并且可以在文檔中嵌入各種類型的惡意文件，將多個(gè)相同的惡意文件隱藏在圖片下方，以確保用戶雙擊圖片指定部分時(shí)能夠點(diǎn)擊到任意一個(gè)惡意文件。若用戶無視風(fēng)險(xiǎn)警告繼續(xù)執(zhí)行，惡意文件就會進(jìn)行后續(xù)的攻擊流程。

Snake Keylogger竊密木馬于2020年底出現(xiàn)，是一種使用.NET開發(fā)的惡意軟件。該竊密木馬能夠在受害主機(jī)上執(zhí)行鍵盤記錄、獲取屏幕截圖、獲取剪貼板內(nèi)容、竊取目標(biāo)應(yīng)用軟件中保存的用戶名及密碼信息等竊密功能，并具備多種數(shù)據(jù)回傳方式。竊密木馬在受感染系統(tǒng)中實(shí)施隱藏、駐留、搜集、監(jiān)控等惡意行為，從而將敏感數(shù)據(jù)按照攻擊者的需求進(jìn)行傳輸，給用戶造成收入損失、聲譽(yù)損害等嚴(yán)重后果，攻擊者還能夠利用從用戶處竊取的數(shù)據(jù)實(shí)施后續(xù)的攻擊活動。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡稱IEP）可以阻止OneNote運(yùn)行惡意執(zhí)行體，并可實(shí)現(xiàn)對該竊密木馬的有效查殺。

2??????? 事件對應(yīng)的ATT&CK映射圖譜

針對攻擊者投遞竊密木馬的完整過程，安天梳理本次攻擊事件對應(yīng)的ATT&CK映射圖譜如下圖所示：

圖 2?1技術(shù)特點(diǎn)對應(yīng)ATT&CK的映射

攻擊者使用的技術(shù)點(diǎn)如下表所示：

3??????? 防護(hù)建議

為有效防御此類攻擊事件，提升安全防護(hù)水平，安天建議企業(yè)采取如下防護(hù)措施：

3.1??????? 識別釣魚郵件

（1）??????? 查看郵件發(fā)件人：警惕發(fā)送“公務(wù)郵件”的非組織的發(fā)件人；

（2）??????? 看收件人地址：警惕群發(fā)郵件，可聯(lián)系發(fā)件人確認(rèn)；

（3）??????? 看發(fā)件時(shí)間：警惕非工作時(shí)間發(fā)送的郵件；

（4）??????? 看郵件標(biāo)題：警惕具備“訂單”、“票據(jù)”、“工資補(bǔ)貼”、“采購”等關(guān)鍵詞的標(biāo)題的郵件；

（5）??????? 看正文措辭：警惕以“親”、“親愛的用戶”、“親愛的同事”等較為泛化問候的郵件；

（6）??????? 看正文目的：警惕以“系統(tǒng)升級”、“系統(tǒng)維護(hù)”、“安全設(shè)置”等名義索取郵箱賬號密碼的郵件；

（7）??????? 看正文內(nèi)容：警惕其中附帶的網(wǎng)頁鏈接，特別是短鏈接；

（8）??????? 看附件內(nèi)容：查看前，須使用防毒軟件對附件進(jìn)行病毒掃描監(jiān)測。

3.2??????? 日常郵箱安全使用防護(hù)

（1）??????? 安裝終端防護(hù)軟件：安裝終端防護(hù)軟件，開啟防護(hù)軟件中對郵件附件的掃描檢測功能，定期對系統(tǒng)進(jìn)行安全檢測，修復(fù)系統(tǒng)漏洞。

（2）??????? 郵箱登錄口令：郵箱登錄口令設(shè)置時(shí)確保具備一定復(fù)雜性（包含三種字符元素），確?？诹畈挥涗浻谵k公區(qū)明顯位置，定期修改登錄口令。

（3）??????? 郵箱賬號要綁定手機(jī)：郵箱賬號綁定手機(jī)后，不僅可以找回密碼，還可以接收“異常登錄”的提示短信，即時(shí)處置。

（4）??????? 重要文件要做好防護(hù)：

a) 及時(shí)清空收件箱、發(fā)件箱和垃圾箱內(nèi)不再使用的重要郵件；

b) 備份重要文件，防止被攻擊后文件丟失；

c) 重要郵件或附件應(yīng)加密發(fā)送，且正文中不能附帶解密密碼。

（5）??????? 敏感信息要保護(hù)：不要將敏感信息發(fā)布到互聯(lián)網(wǎng)上，用戶發(fā)布到互聯(lián)網(wǎng)上的信息和數(shù)據(jù)會被攻擊者收集。攻擊者可以通過分析這些信息和數(shù)據(jù)，有針對性的向用戶發(fā)送釣魚郵件。

3.3??????? 政企機(jī)構(gòu)防護(hù)

（1）??????? 安裝終端防護(hù)軟件：安裝反病毒軟件，建議安裝安天智甲終端防御系統(tǒng)；

（2）??????? 加強(qiáng)口令強(qiáng)度：避免使用弱口令，建議使用16位或更長的口令，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時(shí)避免多個(gè)服務(wù)器使用相同口令；

（3）??????? 部署入侵檢測系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設(shè)備，便于對惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測系統(tǒng)（PTD）以網(wǎng)絡(luò)流量為檢測分析對象，能精準(zhǔn)檢測出已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動，有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類未知威脅；

（4）??????? 安天服務(wù)：若遭受惡意軟件攻擊，建議及時(shí)隔離被攻擊主機(jī)，并保護(hù)現(xiàn)場等待安全工程師對計(jì)算機(jī)進(jìn)行排查；安天7*24小時(shí)服務(wù)熱線：400-840-9234。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡稱IEP）可以阻止OneNote運(yùn)行惡意執(zhí)行體，并可實(shí)現(xiàn)對該竊密木馬的有效查殺。

?

4??????? 攻擊流程

4.1??????? 攻擊流程圖

攻擊者投放釣魚郵件，誘導(dǎo)用戶打開附件中的OneNote文檔，執(zhí)行OneNote文檔中隱藏在圖片下方的ee.vbs腳本文件；ee.vbs腳本執(zhí)行后從文件托管網(wǎng)站下載eme.ps1腳本，該P(yáng)owerShell腳本釋放并執(zhí)行一個(gè)可執(zhí)行程序；可執(zhí)行程序運(yùn)行后釋放并加載多個(gè)DLL文件，最終將Snake Keylogger注入到創(chuàng)建的子進(jìn)程中運(yùn)行。Snake Keylogger具有鍵盤記錄、屏幕截圖、獲取剪貼板內(nèi)容、竊取目標(biāo)應(yīng)用軟件用戶名密碼等竊密功能，并具備FTP回傳、SMTP回傳、Telegram回傳三種數(shù)據(jù)回傳方式。

4.2??????? 利用OneNote文檔傳播惡意文件

攻擊者在OneNote文檔中插入一張模糊的圖片，誘導(dǎo)用戶雙擊指定位置進(jìn)行查看。

圖 4?2 OneNote文檔頁面

在原圖片“Double click here to view”下方藏有3個(gè)ee.vbs文件，當(dāng)用戶雙擊該處時(shí)，就會點(diǎn)擊到任意一個(gè)腳本文件。若用戶無視風(fēng)險(xiǎn)警告繼續(xù)執(zhí)行，腳本文件就會進(jìn)行后續(xù)的攻擊流程。后續(xù)攻擊流程詳見第5章節(jié)的“樣本分析”部分。

5??????? 樣本分析

5.1??????? 樣本標(biāo)簽

表 5?1樣本標(biāo)簽

VBS腳本執(zhí)行后，從文件托管網(wǎng)站下載攻擊者預(yù)先托管的PowerShell腳本至指定路徑中，并執(zhí)行該腳本文件。

5.3??????? eme.ps1

PowerShell腳本執(zhí)行后對字符串進(jìn)行Base64解碼，將解碼的內(nèi)容保存至“C:\Users\Public”目錄下并命名為“eme.pif”，該文件是一個(gè)使用.NET進(jìn)行編寫的可執(zhí)行程序。

5.4??????? eme.pif

該可執(zhí)行程序運(yùn)行后，獲取指定名稱的資源從而得到C2200.dll文件，并調(diào)用該DLL文件中指定的函數(shù)。

加載C2200.dll文件，休眠40秒，然后對硬編碼的字符串進(jìn)行指定字符替換及Base64解碼，得到Cruiser.dll文件；加載Cruiser.dll文件解碼得到2個(gè)關(guān)鍵字符串，根據(jù)字符串“UfVJ”獲得eme.pif程序中的圖像資源，并根據(jù)字符串“prh”對圖像資源進(jìn)行解碼，得到Outimurs.dll文件。

加載Outimurs.dll文件，并調(diào)用該DLL文件中的指定函數(shù)。

5.5??????? Outimurs.dll

Outimurs.dll文件主要執(zhí)行3個(gè)功能：自我復(fù)制、創(chuàng)建計(jì)劃任務(wù)、注入最終載荷。

5.5.1???????? 自我復(fù)制

將自身程序復(fù)制到新的路徑中，并對程序進(jìn)行重命名。

5.5.2???????? 創(chuàng)建計(jì)劃任務(wù)

釋放XML文件至%temp%目錄下，利用該XML文件創(chuàng)建計(jì)劃任務(wù)。

計(jì)劃任務(wù)創(chuàng)建完成后，對XML文件進(jìn)行刪除。

5.5.3???????? 注入最終載荷

獲取指定資源，對該資源進(jìn)行解碼得到最終載荷。創(chuàng)建子進(jìn)程，并將解碼獲得的Snake Keylogger竊密木馬注入到該子進(jìn)程中運(yùn)行。

5.6??????? Snake Keylogger竊密木馬

Snake Keylogger竊密木馬具有鍵盤記錄、屏幕截圖、獲取剪貼板內(nèi)容、竊取目標(biāo)應(yīng)用軟件用戶名密碼等竊密功能，并具備三種回傳方式：FTP回傳、SMTP回傳、Telegram回傳。

5.6.1???????? 鍵盤記錄

對鍵盤輸入事件進(jìn)行監(jiān)控，并獲取用戶當(dāng)前使用的窗口信息，將鍵盤記錄及窗口信息回傳至C2服務(wù)器。

5.6.2???????? 屏幕截圖

對屏幕進(jìn)行截圖保存至“我的文件\SnakeKeylogger”文件夾中，命名為Screenshot.png，并回傳至C2服務(wù)器，隨后刪除該屏幕截圖文件。

5.6.3???????? 獲取剪貼板內(nèi)容

獲取系統(tǒng)剪貼板中的內(nèi)容，并回傳至C2服務(wù)器。

5.6.4???????? 竊密目標(biāo)

Snake Keylogger竊密木馬竊取郵箱客戶端、瀏覽器、即時(shí)通訊平臺、FTP工具等應(yīng)用軟件中保存的用戶名及密碼等信息，具體目標(biāo)如下表所示。

表 5?2 應(yīng)用軟件竊密目標(biāo)

5.6.5???????? 回傳方式

Snake Keylogger竊密木馬根據(jù)構(gòu)建時(shí)的配置信息選擇是否對回傳信息進(jìn)行加密。

若在構(gòu)建時(shí)選擇對回傳信息進(jìn)行加密，則使用DES算法對信息進(jìn)行加密，并對加密后的數(shù)據(jù)進(jìn)行Base64編碼處理。

Snake Keylogger竊密木馬具有三種回傳方式：FTP回傳、SMTP回傳、Telegram回傳，根據(jù)構(gòu)建時(shí)的配置信息選擇具體的回傳方式。

·通過FTP回傳

若通過FTP回傳信息，則會與攻擊者的FTP服務(wù)器進(jìn)行連接，并利用“STOR”命令將保存竊取數(shù)據(jù)的文件回傳至服務(wù)器中。

根據(jù)竊取信息的不同，其回傳文件有所區(qū)別，如下表所示。

表 5?3 FTP回傳文件

·通過SMTP回傳

若通過SMTP回傳信息，則會向惡意電子郵箱地址發(fā)送回傳郵件，郵件附件為保存竊取數(shù)據(jù)的文件。

根據(jù)竊取信息的不同，其郵件內(nèi)容及附件有所區(qū)別，如下表所示。

表 5?4 SMTP回傳郵件

·通過Telegram回傳

此樣本通過Telegram回傳信息，以POST方式將保存竊取數(shù)據(jù)的文件提交至攻擊者創(chuàng)建的Telegram服務(wù)器。

根據(jù)竊取信息的不同，其回傳文件有所區(qū)別，如下表所示。

表 5?5 Telegram回傳文件

6??????? 總結(jié)

自從微軟宣布默認(rèn)阻止Office文檔中的宏之后，攻擊者轉(zhuǎn)變投遞惡意文件的方式，將OneNote文檔作為一種傳播惡意文件的新型媒介。攻擊者向用戶發(fā)送釣魚郵件，誘導(dǎo)用戶打開附件中的OneNote文檔，執(zhí)行OneNote文檔中隱藏在圖片下方的惡意文件，從而在用戶主機(jī)上運(yùn)行竊密木馬、遠(yuǎn)控木馬等惡意軟件。

在此建議用戶不要輕易相信未知郵件中的內(nèi)容，對郵件的來源進(jìn)行確認(rèn)，并警惕郵件中具有誘導(dǎo)性的內(nèi)容。安天CERT將持續(xù)關(guān)注攻擊者的新型攻擊手段，并對相關(guān)攻擊活動進(jìn)行深入分析與研究。

7??????? IoCs