江苏龙网

  1. 首页 > 资讯 > 科技 > >

FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿

事件概述
开源情报曾在上月初发布了永恒之蓝下载器挖矿木马的更新攻击事件—“黑球”行动 , 其中就有提到它利用带有Office漏洞CVE-2017-8570漏洞的doc文档作为附件的垃圾邮件进行攻击 , 然后通过执行PowerShell命令下载和安装挖矿相关的恶意计划任务 , 相关的垃圾邮件具体信息如下:
FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
本文插图

近期 , 马莲发现有很多用户收到相关的钓鱼垃圾邮件 , 并且恶意的邮件附件样本检测率很低 , 如果有用户不谨慎点击邮件附件 , 则系统会被安装挖矿程序 , 造成系统卡顿等异常现象 。 钓鱼攻击的垃圾邮件样例如下(邮件主题是告别信 618) , 建议广大计算机用户在查看邮件时 , 需要留意其安全性 。
FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
本文插图

事件分析我们都知道 , “黑球”行动的钓鱼邮件附件是利用Office漏洞CVE-2017-8570漏洞的doc文档 。 早在2018年 , 海莲花组织也曾使用过该漏洞的样本进行攻击 。 附件readme.doc是一个RTF文档 , 其使用漏洞触发执行JS脚本 , 脚本进一步通过PowerShell命令从远端服务器下载恶意的PS脚本在内存中执行 , 达到“无文件”的效果 。
FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
本文插图

CVE-2017-8570RTF中内嵌了一个名QBNLaW1s7vq5bki.sct为package对象 。 如下图所示:
FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
本文插图

还有一个包含了CVE-2017-8570漏洞的OLE2Link对象 , 具体信息如下:
FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
本文插图

漏洞触发后会执行QBNLaW1s7vq5bki.sct文件 , 该脚本的作用是通过CMD命令执行恶意的PowerShell命令 , 在目标设备中植入挖矿程序 。
FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
本文插图

我们也可以工具分析此文档 , 同时也可以看到该文档具体包含的对象信息 。
FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
本文插图

恶意的PS脚本分析通过漏洞触发的JS脚本我们知道它下载了2个PS脚本 , 分别是7p.php和mail.jsp 。 具体调用逻辑是通过7p.php中的bpu函数执行恶意的mail.jsp脚本内容 。
FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
本文插图

7p.php分析7p.php的内容是一个混淆的PS脚本 , 具体信息如下:
FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
本文插图

我们通过几轮去混淆后 , 我们可以发现bpu函数的具体内容:
FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
本文插图

bpu函数的具体作用就是执行它的参数payload内容 。
【FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿】
FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
本文插图
FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
本文插图

mail.jsp分析此文件也是一个混淆的PS脚本 , 具体内容如下:
FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
本文插图

经过4轮的去混淆后 , 我们可以看到具体的明显的恶意内容 。


推荐阅读


上一篇:5G手机|迟来的性价比之王,再次刷新5G手机价格,堪称用户福音

下一篇:青年|宝宝吃的东西,会影响他们的大脑发育?