Malware XLSM con MacroSheets | McAfee Blogs XLSM Malware con MacroSheets


El malware basado en Excel ha existido durante décadas y ha estado en el centro de atención en los últimos años. Durante la segunda mitad de 2020, vimos a los adversarios usar macros de Excel 4.0, una tecnología antigua, para entregar cargas útiles a sus víctimas. Principalmente usaban flujos de libros de trabajo a través del formato de archivo XLSX. En estos flujos, los adversarios pudieron ingresar código directamente en las celdas (por eso se les llamó macro fórmulas). Excel 4.0 también usó funciones de nivel de API como descargar un archivo, crear archivos, invocar otros procesos como PowerShell, cmd, etc.

Con la evolución de la tecnología, los proveedores de antivirus comenzaron a detectar estos documentos de Excel maliciosos de manera efectiva y, por lo tanto, para tener más rutinas de evasión y ofuscación, los atacantes comenzaron a cambiar al formato de archivo XLSM. En la primera mitad de 2021, hemos visto un aumento de malware XLSM que entrega diferentes cargas útiles familiares (como se muestra en el cuadro de infecciones a continuación). En XLSM, los adversarios utilizan Macrosheets para ingresar su código malicioso directamente en las fórmulas de las celdas. La estructura de XLSM es la misma que la de XLSX, pero los archivos XLSM admiten macros VBA, que son una tecnología más avanzada de las macros de Excel 4.0. Con estas macrosheets, los atacantes pudieron acceder a potentes funcionalidades de Windows y, dado que esta técnica es nueva y está muy confusa, puede evadir muchas detecciones antivirus.

Excel 4.0 y XLSM son conocidos por descargar otras cargas útiles de malware como ZLoader, Trickbot, Qakbot, Ursnif, IcedID, etc.

Aciertos de campo para la detección de malware de macrosheet XLSM
Aciertos de campo para la detección de malware de macrosheet XLSM

La figura anterior muestra el número de muestras detectadas semanalmente por el nombre detectado "Downloader-FCEI" que se dirige específicamente al malware basado en macrosheet XLSM.

Ddetallado Análisis técnico

Estructura XLSM

Los archivos XLSM son archivos de hoja de cálculo que admiten macros. Una macro es un conjunto de instrucciones que realiza un registro de pasos repetidamente. Los archivos XLSM se basan en formatos Open XLM que se introdujeron en Microsoft Office 2007. Estos tipos de archivos son como XLSX pero, además, admiten macros.

Hablando de la estructura XLSM cuando descomprimimos el archivo, vemos cuatro contenidos básicos del archivo, estos se muestran a continuación.

Figura 1: Contenido dentro del archivo XLSM
Figura 1: Contenido dentro del archivo XLSM
  • _rels contiene la relación inicial a nivel de paquete.
  • docProps contiene los metadatos del archivo de Excel.
  • xl contiene el contenido real del archivo.
  • (Content_Types) .xml tiene referencias a los archivos XML presentes en las carpetas anteriores.

Nos centraremos más en el contenido de la carpeta "xl". Esta carpeta contiene todos los contenidos principales del archivo de Excel como todas las hojas de trabajo, archivos multimedia, archivo styles.xml, archivo sharedStrings.xml, archivo workbook.xml, etc. Todos estos archivos y carpetas tienen datos relacionados con diferentes aspectos del archivo de Excel. Pero para los archivos XLSM nos centraremos en una carpeta única llamada macrosheets.

Estos archivos XLSM contienen macrosheets, como se muestra en la figura 2, que no son más que archivos de hoja XML que pueden admitir macros. Estas hojas no están disponibles en otros formatos de archivo de Excel. En los últimos meses, hemos visto un gran aumento en el malware de tipo de archivo XLSM en el que los atacantes almacenan cadenas maliciosas ocultas dentro de estas macrosheets. Veremos más detalles sobre este tipo de malware en este blog.

Figura-2: Carpeta de macrosheets dentro de la carpeta xl
Figura-2: Carpeta de macrosheets dentro de la carpeta xl

Para explicar con más detalle cómo utilizan los atacantess Archivos XLSM hemos tomado un Qakbot muestra con SHA 91a1ba70132139c99efd73ca21c4721927a213bcd529c87e908a9fdd71570f1e.

Cadena de infección

Figura-3: Cadena de infección para Qakbot Malware
Figura-3: Cadena de infección para Qakbot Malware

La cadena de infección para Excel 4.0 Qakbot y XLSM Qakbot es similar. Ambos descargan dll y lo ejecutan usando rundll32.exe con DllResgisterServer como función de exportación.

Análisis de amenazas XLSM

Al abrir el archivo XLSM, hay una imagen que solicita al usuario que habilite el contenido. Para lucir legítimos y limpios, los actores maliciosos usan una plantilla de aspecto muy oficial como se muestra a continuación.

Figura 4: Imagen de la cara del archivo Xlsm
Figura 4 Imagen de la cara del archivo Xlsm

En la excavación Más adentro, vemos su archivo workbook.xml interno.

Figura 5: contenido workbook.xml
Figura 5: contenido workbook.xml

Ahora, como podemos ver en el archivo workbook.xml (Figura-5), hay un total de 6 hojas y su estado está oculto. Además, dos celdas tienen un nombre predefinido y una de ellas es Hoja2323! $ A $ 1 definido como "_Xlnm.Auto_Open" que es similar a Sub Auto_Open () como generalmente vemos en archivos de macro. Ejecuta automáticamente las macros cuando el usuario hace clic en Habilitar contenido.

Como vimos en la Figura 3 al abrir el archivo, solo vemos la imagen de habilitar contenido. Dado que el estado de las hojas estaba oculto, podemos hacer clic derecho en la pestaña de la hoja principal y veremos la opción de mostrar allí, luego podemos seleccionar cada hoja para mostrarla. Al ocultar la hoja y cambiar el color de la fuente a rojo, vimos algunas cadenas aleatorias como se ve en la figura 6.

Figura 6: Cara de hoja del archivo xlsm
Figura 6: Cara de hoja del archivo xlsm

Estas hojas ocultas contienen cadenas maliciosas en un manera ofuscada. Pronto analgusto más observamos que las sábanas adentro la macrosheets carpeta contiene estas cadenas maliciosas.

Figura-7: Contenido del archivo XML de hoja de macros
Figura-7: Contenido del archivo XML de hoja de macros

Ahora, como podemos en la figura 7, se utilizan etiquetas diferentes en este archivo de hoja XML. Todas las cadenas maliciosas están presentes en dos etiquetas. y etiquetas en el interior etiquetas. Ahora veamos con más detalle estas etiquetas.

Las etiquetas (Valor de celda) se utilizan para almacenar valores dentro de la celda. Las etiquetas (Fórmula de celda) se utilizan para almacenar fórmulas dentro de la celda. Ahora en la hoja de arriba Las etiquetas contienen el valor de la fórmula almacenada en caché según la última vez que se calculó la fórmula. Las celdas de fórmula contienen fórmulas como "GOTO (Sheet2! H13)", ahora, como podemos ver aquí, los atacantes pueden almacenar diferentes fórmulas mientras hacen referencia a celdas de diferentes hojas. Estas operaciones se realizan para producir hojas cada vez más ofuscadas y evadir las firmas AV.

Cuando el usuario hace clic en el botón de habilitar contenido, la ejecución comienza desde la celda Auto_Open, después de lo cual cada fórmula de hoja comenzará a ejecutarse una por una. A continuación, se muestra la cadena final desobstruida.

Figura 8: Cadenas finales desofuscadas del archivo
Figura 8: Cadenas finales desofuscadas del archivo

Aquí el URLDownloadToFIleA La API se usa para descargar la carga útil y la cadena "JJCCBB" se usa para especificar los tipos de datos para llamar la API. Hay varios URI y de uno de ellos, la carga útil DLL se descarga y se guarda como .. \ lertio.cersw. Esta carga útil de DLL luego se ejecuta usando rundll32. Todas estas actividades maliciosas se llevan a cabo utilizando diversas fórmulas basadas en Excel como REGISTRAR, EXEC, etc.

Orientación sobre cobertura y prevención:

Los productos de McAfee Endpoint detectan esta variante de malware de la siguiente manera:

El principal documento malicioso con SHA256 (91a1ba70132139c99efd73ca21c4721927a213bcd529c87e908a9fdd71570f1e) se detecta como "Descargador-FCEI”Con archivos DAT actuales.

Además, con la ayuda de la función de regla experta de McAfee, los clientes pueden agregar una regla de comportamiento personalizada, específica para este patrón de infección.

Regla

Proceso

Incluya OBJECT_NAME -v "EXCEL.exe"

Objetivo

Coincidir con PROCESO

Incluya OBJECT_NAME -v "rundll32.exe"

Incluya PROCESS_CMD_LINE -v "* .. \ *. *, DllRegisterServer"

Incluir -acceso "CREAR"

McAfee aconseja a todos los usuarios que eviten abrir archivos adjuntos de correo electrónico o hacer clic en los enlaces presentes en el correo sin verificar la identidad del remitente. Desactive siempre la ejecución de macros para archivos de Office. Recomendamos a todos que lean nuestro blog sobre este tipo de archivos XLSM maliciosos y sus técnicas de ofuscación para comprender más sobre la amenaza.

El malware utiliza diferentes técnicas y tácticas para propagarse, y las asignamos con la plataforma MITRE ATT & CK.

  • T1064 (Scripting): uso de macros de Excel 4.0 y diferentes fórmulas de Excel para descargar la carga maliciosa.
  • Defense Evasion (T1218.011): La ejecución de un binario firmado para abusar de Rundll32.exe y el proxy ejecuta el código malicioso se observa en esta variante de Qakbot.
  • Defense Evasion (T1562.001): el archivo de Office intenta convencer a la víctima de que desactive las funciones de seguridad mediante el uso de una imagen de aspecto limpio.
  • Command and Control (T1071): uso del protocolo de capa de aplicación HTTP para conectarse a la web y luego descarga la carga útil maliciosa.

Conclusión

Se ha observado que el malware XLSM ofrece muchas familias de malware. Muchas familias importantes como Trickbot, Gozi, IcedID, Qakbot están utilizando estas macrosheets XLSM en grandes cantidades para entregar sus cargas útiles. Estos ataques aún están evolucionando y continúan usando varias cadenas ofuscadas para explotar varias utilidades de Windows como rundll32, regsvr32, PowerShell, etc.

Debido a problemas de seguridad, las macros están deshabilitadas de forma predeterminada en las aplicaciones de Microsoft Office. Sugerimos que solo sea seguro habilitarlos cuando el documento recibido proviene de una fuente confiable y las macros tienen un propósito esperado.





Enlace a la noticia original