2019年8月，網(wǎng)絡(luò)安全公司Proofpoint的研究人員監(jiān)測到一波惡意電子郵件分發(fā)活動，旨在傳播包含內(nèi)嵌惡意宏代碼的Microsoft Word和Microsoft Excel附件。

進一步的分析顯示，內(nèi)嵌在惡意文檔中的宏代碼組成了一種全新的下載器（被Proofpoint研究人員命名為“WhiteShadow”），能夠連接到由攻擊者控制的Microsoft SQL Server數(shù)據(jù)庫，進而以執(zhí)行SQL查詢的方式下載下一階段有效載荷。

圖1.惡意電子郵件示例

感染鏈分析

WhiteShadow的啟動需要收件人執(zhí)行兩個動作：一是打開惡意文檔，二是啟用宏。

值得一提的是，如果你的電腦總是莫名其妙中毒，多半也是因為你沒頭沒腦地執(zhí)行了這兩個動作。

WhiteShadow啟動后，便會連接到由攻擊者控制的Microsoft SQL Server數(shù)據(jù)庫，然后執(zhí)行SQL查詢來檢索在數(shù)據(jù)庫中存儲為ASCII編碼長字符串的下一階段有效載荷。

一旦檢索到，它就會將對字符串進行解碼，并將數(shù)據(jù)分成數(shù)組（分隔符有“!”和“,”兩種）寫入一個PKZIP壓縮文件，然后寫入硬盤。

圖2. 用分隔符“!”將數(shù)據(jù)分成數(shù)組

圖3. 用分隔符“,”將數(shù)據(jù)分成數(shù)組

PKZIP壓縮文件包含一個可執(zhí)行文件（即下一階段有效載荷），一旦被提取，便會開始在系統(tǒng)上運行。

圖4.完整感染鏈

下載器分析

WhiteShadow使用SQLOLEDB連接器連接到遠程Microsoft SQL Server數(shù)據(jù)庫，執(zhí)行查詢，并將結(jié)果以保存為Zip壓縮文件。

SQLOLEDB連接器默認包含在許多Microsoft Office安裝程序中，一旦安裝，Windows子系統(tǒng)的各個部分以及Microsoft Office文檔中的宏都可以使用它。

到目前為止，被提取的有效載荷包括Crimson、Nanocore、njRAT、AgentTesla、Formbook以及AZORrult等，具體如下：

圖5.2019年8月至9月的WhiteShadow活動情況統(tǒng)計

在mssql.somee.com的子域中，托管有多個不同的數(shù)據(jù)庫：

• antinio.mssql.somee[.]com
• bytesdata.mssql.somee[.]com
• fabancho.mssql.somee[.]com

在每個數(shù)據(jù)庫中，WhiteShadow訪問的數(shù)據(jù)都是保存在一個名為“Data”的表中，該表僅含三列：

• Id_No：有效載荷的主鍵“int”標(biāo)識符；
• Byte_data：有效載荷數(shù)據(jù)的ASCII編碼；
• Net_ver：有效載荷的“customer”標(biāo)識符或版本字符串

有效載荷分析

在分析有效載荷時，Proofpoint公司的研究人員發(fā)現(xiàn)Crimson出現(xiàn)了多次更新。更新的命令如下：

cownar:

將可執(zhí)行文件添加到Environment.SpecialFolder.CommonApplicationData\\%install_folder%\\updates\\中，并通過Process.Start(exe_path)執(zhí)行。

cscreen:

獲取受感染計算機的JPEG格式屏幕截圖，并使用C＆C響應(yīng)命令“ capScreen”上傳到C＆C服務(wù)器。

getavs:

創(chuàng)建一個拼接的進程字符串，格式如下：

>%process-id%>%process_module_name%><

針對系統(tǒng)中正在運行的每一個進程，通過以下方式枚舉：

Process[]processes = Process.GetProcesses();

putsrt:

該函數(shù)的輸入是一個字符串，它會將該字符串與當(dāng)前正在運行的進程可執(zhí)行文件路徑進行比較。如果路徑不同，則會通過以下命令移動可執(zhí)行文件：

File.WriteAllBytes(text, File.ReadAllBytes(executablePath));

然后，它會將修改后的路徑安裝到“CurrentVersion AutoRun”注冊表項中：

SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

結(jié)論

盡管使用Microsoft SQL查詢來檢索下一階段有效載荷并不是一項新技術(shù)，但卻很少被使用，而WhiteShadow恰好就是這樣一種全新的下載器。

通過將下載器和Microsoft SQL Server數(shù)據(jù)庫相結(jié)合，攻擊者成功傳播了包括遠控木馬、下載型病毒、鍵盤記錄程序在內(nèi)的多種惡意軟件。

如此看來，想要避免電腦莫名其妙感染病毒，切記打開來路不明的電子郵件是不能少了，至少不應(yīng)該隨意在office文檔中“啟用宏”。

總結(jié)

以上是生活随笔為你收集整理的电脑总是莫名其妙中毒电脑老是中毒的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。