Dropper是将Payload部署到失陷主机的恶意软件,被很多攻击者使用。年第二季度研究人员发现了一些活跃的Dropper,例如MicrosoftExcel文件以及Windows快捷方式文件和ISO文件。通过与社会工程相结合的攻击方式,诱使受害者触发失陷。最近,利用这些Dropper的恶意软件家族有Emotet、Qbot和Icedid等。
通过钓鱼邮件投递
Dropper可以通过钓鱼邮件以三种方式传播,例如:
将Dropper或者加密的ZIP文件作为附件
将HTML文件作为附件,打开时执行Dropper
正文中包含下载Dropper的链接
每种方式都会将恶意文件投递给受害者并诱使其打开,如下所示:
加密ZIP文件作为附件
HTML文件作为附件
正文嵌入下载链接
研究人员发现前两者使用了一种被称为“HTML走私”的技术,该技术利用合法的HTML5和JavaScript功能对恶意数据进行编码。如下所示,受害者通过浏览器打开时会将数据块转换为Dropper:
HTML走私
首次发现该技术是在五月,电子邮件中的下载链接包含HTML走私的网页。到了六月,HTML走私的网页作为附件直接发送给受害者。
Dropper
(1)Excel4.0宏的Excel文件
该Excel文件并不是新出现的,去年Emotet已经大量使用。样本中的某些工作表被隐藏,如下所示,包含恶意代码的工作表名为IJEIGOPSAGHSPHP。其中单元格A1内容为Auto_Open6并包含一个内置宏代码,该宏代码会在打开文件后自动通过该单元格执行公式。
样本调用名为URLDownloadToFileA的API从多个不同的URL下载恶意软件,而实际的Payload是DLL文件并且通过regsvr-32.exe来执行。
隐藏表中的恶意公式
(2)LNK文件
如下所示,样本在目标字段中包含一个PowerShell代码片段。PowerShell代码将base64字符串转换为包含多个URL的脚本代码。接着就通过每个URL下载恶意软件,并通过Regsvr-32.exe执行。
目标属性
捕获了包含不同恶意代码的其他样本,如下所示:
恶意代码执行
下图显示了另一段PowerShell代码,数据被解码为.HTA的URL并通过mshta.exe执行。后续,HTA文件中的VBScript代码提取包含加密数据的PowerShell代码,并将其转换为脚本代码再下载执行。
恶意代码执行
(3)ISO文件
攻击者将恶意DLL文件与恶意LNK文件都存在ISO文件中,如下所示。DLL文件被设置为隐藏文件,默认情况下在文件资源管理器中不可见,而LNK文件通过Rundll32.exe来执行恶意DLL文件。
恶意DLL文件与LNK文件都在ISO文件中
结论
文中提到的Dropper被多个恶意软件家族所使用,如下所示。四月初,攻击者只使用Excel文件进行攻击。紧接着,四月二十三日捕获了Emotet首次使用LNK文件进行攻击的样本,随后的五月又被Qbot与Icedid快速采用。五月中旬又出现了ISO文件的Dropper,涉及的恶意软件家族包括Qbot、Icedid和Bumblebee等。在五月下旬开始,在野出现了HTML走私攻击,这样避免了通过网络直接传递恶意软件。
Dropper与Payload
下图显示了过去三个月内值得注意的恶意软件攻击行动。
Dropper应用时间表
由于宏代码的应用,Office文件一直是攻击者最喜欢的攻击媒介,然而随着微软对宏代码逐渐增强安全控制。年7月,微软在打开Excel文件时默认禁用Excel4.0宏代码。年4月,微软又默认阻止了通过互联网下载文件中的VBA宏代码执行。攻击者开始转向其他类型的文件提高入侵效率,例如LNK文件与ISO文件。