如何將Python遠控隱藏在文檔圖片中
發(fā)布時(shí)間:2021-09-14 11:25
來(lái)源:億速云
閱讀:0
作者:chen
欄目: 網(wǎng)絡(luò )安全
這篇文章主要講解了“如何將Python遠控隱藏在文檔圖片中”���,文中的講解內容簡(jiǎn)單清晰�����,易于學(xué)習與理解���,下面請大家跟著(zhù)小編的思路慢慢深入����,一起來(lái)研究和學(xué)習“如何將Python遠控隱藏在文檔圖片中”吧�����!
1�����、概述
近日���,安天CERT通過(guò)網(wǎng)絡(luò )安全監測發(fā)現了一起惡意文檔釋放Python編寫(xiě)的遠控木馬事件����。通過(guò)文檔內容中涉及的組織信息和其中攻擊者設置的誘導提示�����,安天CERT判斷該事件是一起針對阿塞拜疆共和國國家石油公司進(jìn)行的定向攻擊活動(dòng)�。此次事件中���,攻擊者充分利用技術(shù)實(shí)現規避反病毒軟件查殺�����,具體為利用了隱寫(xiě)術(shù)將遠控木馬相關(guān)文件以壓縮包格式存儲于惡意文檔里的圖片中以備后期提取利用���。首先將該惡意文檔另存為docx文件����,該文件格式具備ZIP文件的特性���,然后另存為ZIP格式進(jìn)行解壓并獲取其中的圖片��,最后提取圖片中的遠控木馬文件��。此遠控木馬采用Python語(yǔ)言編寫(xiě)�����,具備一般遠控的上傳����、下載和命令執行等功能��。
2���、事件對應的ATT&CK映射圖譜
本報告中涉及事件為攻擊者針對目標系統投放惡意文檔�����,釋放并運行遠控木馬�。通過(guò)梳理該事件對應的ATT&CK映射圖譜���,揭示攻擊者在該事件中使用的技術(shù)點(diǎn)�����,如下圖所示:
圖 2-1 此次攻擊活動(dòng)的ATT&CK映射圖譜
具體的ATT&CK技術(shù)行為描述如下表所示:
表 2-1 事件對應的ATT&CK技術(shù)行為描述表
3�����、樣本分析
3.1 樣本標簽
表3-1 樣本標簽
3.2 樣本運行流程
當惡意文檔中的宏代碼運行后����,存在兩個(gè)自動(dòng)執行函數����,在不同狀態(tài)下觸發(fā)執行��。一個(gè)是當文檔狀態(tài)處于打開(kāi)時(shí)觸發(fā)執行�����,通過(guò)創(chuàng )建目錄����、拷貝�����、另存ZIP格式���、解壓等操作獲取嵌入圖片中的Python編寫(xiě)的遠控木馬����;另一個(gè)是當文檔狀態(tài)處于關(guān)閉時(shí)執行�����,調用shell以隱藏窗口的方式執行bat遠控啟動(dòng)腳本�,進(jìn)而運行遠控木馬腳本��,該腳本主要功能為釋放vbs腳本文件(內容為調用bat遠控啟動(dòng)腳本)����,并以該腳本為載體創(chuàng )建計劃任務(wù)����,同時(shí)建立循環(huán)加載配置文件與C2建立連接��,獲取指令��,執行對應操作���。
圖 3-1 宏代碼創(chuàng )建和釋放的相關(guān)文件
圖 3-2 樣本運行流程
3.3 惡意文檔分析
樣本為一個(gè)具有惡意宏代碼的Word文檔�����,從內容上看��,是以SOCAR公司的名義偽造的一份“關(guān)于分析用催化劑的出口”的文檔����,同時(shí)利用模糊效果和提示信息的手段�,誘騙目標通過(guò)點(diǎn)擊“啟動(dòng)宏”按鈕的方式可查看文檔詳細內容��。SOCAR是阿塞拜疆共和國國家石油公司的簡(jiǎn)稱(chēng)�,結合文檔內容��,判斷這是一起針對阿塞拜疆共和國國家石油公司員工的惡意文檔投遞活動(dòng)�����。
圖 3-3 文檔內容
通過(guò)提取文檔中的宏代碼分析����,主要有兩個(gè)觸發(fā)操作的函數“Document_Open()”和“Document_Close()”���,同時(shí)該宏代碼存在大量混淆����,具體是將“rqxjx”�、“RXQYE”�、“_RXQYE_20210329_092748_rqxjx_”字符大量嵌入到自定義變量和函數中�����,能夠在一定程度上規避反病毒軟件和干擾分析工作�����。
圖 3-4 自動(dòng)執行的相關(guān)函數
圖 3-5 混淆的宏代碼
解混淆后��,從Document_Open()函數中可以看到其中定義了一些文件路徑變量���,通過(guò)MyFunc23函數解密相關(guān)路徑�����,依據這些變量創(chuàng )建相應目錄和文件��,同時(shí)提取惡意文檔中利用隱寫(xiě)術(shù)保存于圖片中的遠控木馬相關(guān)文件�。
圖 3-6 Document_Open函數內容
表3-2變量信息
圖 3-7 Python編寫(xiě)的遠控相關(guān)文件
Document_Close函數功能為以隱藏方式運行遠控木馬啟動(dòng)腳本��,腳本文件即為“C:\Users\MA\AppData\Roaming\nettools48\”目錄下的runner.bat文件�。該腳本文件初始設置了一定時(shí)間的延遲�,而后運行當前文件夾下的遠控木馬腳本“vabsheche.py”�����。
圖 3-8 運行遠控木馬啟動(dòng)腳本
腳本內容如下:
遠控木馬腳本內容主要分為三部分:
3.4 釋放的遠控木馬分析
第一部分定義了多個(gè)系統判斷函數����,包括Windows�����、Linux和Mac OS X�,同時(shí)讀取C2地址配置文件����,獲取對應域名和端口�����。從系統判斷函數上看�,雖然本次發(fā)現的腳本中只調用了Windows系統判斷函數���,且后續內容只能在Windows系統上執行��,但是不排除攻擊者后期會(huì )開(kāi)發(fā)針對Linux和Mac OS X系統的腳本��。
圖 3-9 遠控腳本第一部分內容
第二部分定義一個(gè)task_registration函數��,主要功能為將啟動(dòng)腳本runner.bat的路徑寫(xiě)入vbs腳本中��,實(shí)現vbs腳本調用運行遠控����,而vbs的調用�,是通過(guò)調用schtasks命令創(chuàng )建計劃任務(wù)���,實(shí)現每三十分鐘運行一次vbs腳本����。最后以Windows系統判斷函數運行結果來(lái)觸發(fā)task_registration函數���。
圖 3-10 遠控腳本第二部分內容
最后一部分功能是C2命令處理過(guò)程����,具體如下:通過(guò)同目錄下的ssl/' target='_blank'>證書(shū)文件“cert.pem”結合前期獲取的域名和端口����,同C2建立連接����,獲取C2返回信息�。
圖 3-11 連接C2代碼
在整體代碼上添加了循環(huán)和容錯處理���,如果連接成功����,則解析C2返回的信息����,依據特定數據�,執行不同的指令操作���;連接失敗���,則延遲120秒���,繼續嘗試連接C2����,持續運行此過(guò)程��。遠控木馬C2地址:pook.mywire.org 端口:220�。
表3-3 遠控木馬指令表
4����、總結
由于該遠控木馬是用Python編寫(xiě)����,對應文件具備腳本文件特性�����,其實(shí)質(zhì)文件格式為文本文件�����,相較于PE文件�,這種文件格式在一定程度上能夠降低被反病毒軟件查殺的可能性���,同時(shí)結合遠控木馬VT檢測結果���,安天CERT認為這種腳本形式的遠控木馬將會(huì )更加頻繁的被攻擊者使用�����,甚至結合混淆編碼進(jìn)行使用�。
