Zloader con una nueva técnica de infección


Este blog fue escrito por Kiran Raj y Kishan N.

Introducción

En los últimos años, el malware macro de Microsoft Office que utiliza la ingeniería social como medio para la infección de malware ha sido una parte dominante del panorama de amenazas. Los autores de malware continúan desarrollando sus técnicas para evadir la detección. Estas técnicas implican utilizar la ofuscación de macros, DDE, vivir de las herramientas terrestres (LOLBAS) e incluso utilizar formatos XLS compatibles con el legado.

McAfee Labs ha descubierto una nueva técnica que descarga y ejecuta archivos DLL maliciosos (Zloader) sin ningún código malicioso presente en la macro inicial de archivos adjuntos spam. El objetivo de este blog es cubrir el aspecto técnico de la técnica recién observada.

Mapa de infección

Resumen de amenazas

  • El vector de ataque inicial es un correo electrónico de phishing con un documento adjunto de Microsoft Word.
  • Al abrir el documento, se descarga un archivo de Microsoft Excel protegido con contraseña desde un servidor remoto.
  • El documento de Word Visual Basic para Aplicaciones (VBA) lee el contenido de la celda del archivo XLS descargado y escribe en XLS VBA como macros.
  • Una vez que las macros se escriben en el archivo XLS descargado, el documento de Word establece la política en el registro para Deshabilitar la advertencia de macro de Excel y llama a la función de macro maliciosa de forma dinámica desde el archivo de Excel.
  • Esto da como resultado la descarga de la carga útil de Zloader. Luego, rundll32.exe ejecuta la carga útil de Zloader.

La siguiente sección contiene el análisis técnico detallado de esta técnica.

Cadena de infección

El malware llega a través de un correo electrónico de phishing que contiene un documento de Microsoft Word como archivo adjunto. Cuando se abre el documento y se habilitan las macros, el documento de Word, a su vez, descarga y abre otro documento de Microsoft Excel protegido con contraseña.

Después de descargar el archivo XLS, Word VBA lee el contenido de la celda desde XLS y crea una nueva macro para el mismo archivo XLS y escribe el contenido de la celda en macros XLS VBA como funciones.

Una vez que las macros están escritas y listas, el documento de Word establece la política en el registro para deshabilitar la advertencia de macro de Excel e invoca la función de macro maliciosa desde el archivo de Excel. El archivo de Excel ahora descarga la carga útil de Zloader. Luego, la carga útil de Zloader se ejecuta mediante rundll32.exe.

Figura-1: diagrama de flujo de la cadena de infección

Análisis de palabras

Así es como se ve la cara del documento cuando lo abrimos (figura 2). Normalmente, las macros están deshabilitadas para ejecutarse de forma predeterminada en Microsoft Office. Los autores de malware son conscientes de esto y, por lo tanto, presentan una imagen atractiva para engañar a las víctimas y guiarlas para que habiliten las macros.

Figura-2: Imagen de la cara del documento de Word

Los componentes del cuadro combinado de formulario de usuario presentes en el documento de Word almacenan todo el contenido necesario para conectarse al documento de Excel remoto, incluido el objeto de Excel, la URL y la contraseña necesaria para abrir el documento de Excel. La URL se almacena en el Combobox en forma de cadenas rotas que luego se concatenarán para formar una cadena clara completa.

Figura-3: Componentes de la URL (lado derecho) y la contraseña para abrir el documento de Excel descargado (“i5x0wbqe81s”) presente en los componentes del formulario de usuario.

Análisis macro de VBA del documento de Word

Figura-4: Imagen del editor de VBA

En la imagen anterior de macros (figura 4), el código intenta descargar y abrir el archivo de Excel almacenado en el dominio malicioso. En primer lugar, crea un objeto de aplicación de Excel utilizando la función CreateObject () y leyendo la cadena de Combobox-1 (figura 2 de referencia) de Userform-1 que tiene la cadena “excel. Aplicación ”almacenada en él. Después de crear el objeto, utiliza el mismo objeto para abrir el archivo de Excel directamente desde la URL maliciosa junto con la contraseña sin guardar el archivo en el disco mediante la función Workbooks.Open ().

Figura 5: Código de macro de Word que lee cadenas presentes en celdas aleatorias en una hoja de Excel.

El fragmento de código anterior (figura 5) muestra parte del código de macro que lee las cadenas de las celdas de Excel.

Por ejemplo:

Ixbq = ifk.sheets (3) .Cells (44,42) .Value

El código almacena la cadena presente en la hoja número 3 y la ubicación de la celda (44, 42) en la variable "ixbq". El objeto Excel.Application que se asigna a la variable "ifk" se utiliza para acceder a hojas y celdas del archivo de Excel que se abre desde el dominio malicioso.

En el siguiente fragmento (figura 6), podemos observar las cadenas almacenadas en las variables después de ser leídas desde las celdas. Podemos observar que tiene cadena relacionada con la entrada del registro "HKEY_CURRENT_USER Software Microsoft Office 12.0 Excel Security AccessVBOM ” que se utiliza para deshabilitar el acceso de confianza para VBA en Excel y la cadena "Auto_Open3" que será el punto de entrada de la ejecución de la macro de Excel.

También podemos ver las cadenas "ThisWorkbook", "REG_DWORD", "Versión", "ActiveVBProject" y algunas funciones aleatorias, así como "Función c4r40 () c4r40 = 1 función de fin". Estos códigos de macro no se pueden detectar mediante la detección estática, ya que el contenido se forma dinámicamente en tiempo de ejecución.

Figura-6: Valor de las variables después de leer las celdas de Excel.

Después de extraer el contenido de las celdas de Excel, el archivo de Word principal crea un nuevo módulo VBA en el archivo de Excel descargado escribiendo el contenido recuperado. Básicamente, el documento de Word principal recupera el contenido de la celda y lo escribe en macros XLS.

Una vez que la macro está formada y lista, modifica el RegKey a continuación para deshabilitar el acceso de confianza para VBA en la máquina víctima para ejecutar la función sin problemas sin advertencias de Microsoft Office.

HKEY_CURRENT_USER Software Microsoft Office 12.0 Excel Security AccessVBOM

Después de escribir el contenido de la macro en el archivo de Excel y deshabilitar el acceso de confianza, se llamará a la función "Auto_Open3 ()" del VBA de Excel recién escrito que descarga el dll de zloader desde el "hxxp: //heavenlygem.com/22.php? 5PH8Z ’ con extensión .cpl

Figura 7: Imagen de la función "Auto_Open3 ()"

El dll descargado se guarda en %temperatura% carpeta y se ejecuta invocando rundll32.exe.

Figura 8: Imagen de la dll de zloader invocada por rundll32.exe

Parámetro de la línea de comandos:

Rundll32.exe shell32.dll, Control_RunDLL ""

Los comandos Windows Rundll32 cargan y ejecutan archivos DLL de 32 bits que se pueden usar para invocar directamente funciones específicas o para crear accesos directos. En la línea de comando anterior, el malware usa la función "Rundll32.exe shell32.dll, Control_RunDLL" para invocar control.exe (panel de control) y pasa la ruta de la DLL como parámetro, por lo tanto, la DLL descargada es ejecutada por control.exe.

Análisis de documentos de Excel:

La siguiente imagen (figura 9) es la cara del archivo de Excel protegido con contraseña que está alojado en el servidor. Podemos observar celdas aleatorias que almacenan fragmentos de cadenas como "RegDelete", "ThisWorkbook", "DeleteLines", etc.

Estas cadenas presentes en las celdas de la hoja de trabajo se forman como macro VBA en la etapa posterior.

Figura 9: Imagen del archivo de Excel remoto.

Orientación sobre cobertura y prevención:

Los productos de McAfee Endpoint detectan esta variante de malware y los archivos se caen durante el proceso de infección.

El documento malicioso principal con SHA256 (210f12d1282e90aadb532e7e891cbe4f089ef4f3ec0568dc459fb5d546c95eaf) se detecta con la versión del paquete V3 – 4328.0 como "W97M / Descargador.djx”. La carga útil final de Zloader con SHA-256 (c55a25514c0d860980e5f13b138ae846b36a783a0fdb52041e3a8c6a22c6f5e2) que es una DLL se detecta por firma "Zloader-FCVP" con la versión de paquete V3 – 4327.0

Además, con la ayuda de la función de reglas expertas de McAfee, los clientes pueden fortalecer la seguridad agregando reglas expertas personalizadas basadas en los patrones de comportamiento del malware. La siguiente regla de EP es específica para este patrón de infección.

McAfee aconseja a todos los usuarios que eviten abrir archivos adjuntos de correo electrónico o hacer clic en los enlaces presentes en el correo sin verificar la identidad del remitente. Desactive siempre la ejecución de macros para archivos de Office. Recomendamos a todos que lean nuestro blog sobre esta nueva variante de Zloader y su ciclo de infección para comprender más sobre la amenaza.

El malware utiliza diferentes técnicas y tácticas para propagarse y las asignamos con la plataforma MITRE ATT & CK.

  • Spear Phishing por correo electrónico (T1566.001): El phishing actúa como el principal punto de entrada al sistema de la víctima, donde el documento viene como un archivo adjunto y el usuario permite que el documento ejecute la macro maliciosa y provoque una infección. Este mecanismo se ve en la mayoría de malware como Emotet, Drixed, Trickbot, Agenttesla, etc.
  • Ejecución (T1059.005): Este es un comportamiento muy común que se observa cuando se abre un documento malicioso. El documento contiene macros VBA maliciosas incrustadas que ejecutan código cuando se abre / cierra el documento.
  • Evasión de defensa (T1218.011): La ejecución de binario firmado para abusar de Rundll32.exe y para ejecutar proxy el código malicioso se observa en esta variante de Zloader. Esta táctica ahora también forma parte de muchas otras como Emotet, Hancitor, Icedid, etc.
  • Evasión de defensa (T1562.001): En esta táctica, deshabilita o modifica las características de seguridad en el documento de Microsoft Office cambiando las claves de registro.

COI

Tipo Valor Escáner Nombre de detección Versión del paquete de detección (V3)
Documento principal de Word 210f12d1282e90aadb532e7e891cbe4f089ef4f3ec0568dc459fb5d546c95eaf ENS W97M / Downloader.djx 4328
Dll descargado c55a25514c0d860980e5f13b138ae846b36a783a0fdb52041e3a8c6a22c6f5e2 ENS Zloader-FCVP 4327
URL para descargar XLS hxxp: //heavenlygem.com/11.php WebAdvisor

Obstruido N / A
URL para descargar dll hxxp: //heavenlygem.com/22.php? 5PH8Z WebAdvisor

Obstruido N / A

Conclusión

Los documentos maliciosos han sido un punto de entrada para la mayoría de las familias de malware y estos ataques han ido evolucionando sus técnicas de infección y ofuscación, no solo limitándose a las descargas directas de carga útil desde VBA, sino creando agentes dinámicamente para descargar la carga útil como discutimos en este blog. El uso de dichos agentes en la cadena de infección no solo se limita a Word o Excel, sino que otras amenazas pueden usar otras herramientas que viven de la tierra para descargar sus cargas útiles.

Debido a problemas de seguridad, las macros están deshabilitadas de forma predeterminada en las aplicaciones de Microsoft Office. Sugerimos que sea seguro habilitarlos solo cuando el documento recibido sea de una fuente confiable.





Enlace a la noticia original