NetWire,遠控木馬(Remote Access Trojan,RAT)家族中的一員,在過去的幾年裡主要被網絡黑客用於從目標Windows主機手機各種憑證、硬件信息(包括硬盤驅動器、網卡等)以及按鍵記錄。
值得一提的是,NetWire RAT還是一種商業化的軟件,包年的費用也就不過120美元而已。
圖1.在網上出售的NetWire RAT
近日,FortiGuard Labs就再次捕獲了一個新的NetWire RAT變種,它也是首個試圖藉助Excel 4.0 Macro傳播的NetWire RAT變種。
什麼是Excel 4.0 Macro?
Excel 4.0於1992年發佈,包含Macro的早期版本,因此這種宏被稱為“Excel 4.0 Macro”。儘管在1993年被VBA宏替代,但微軟出於兼容考慮,還是保留了後續版本Microsoft Excel對Excel 4.0 Macro的支持。
為什麼Excel 4.0 Macro會遭到濫用?
首先,它可以繞過目前市面上大多數防病毒產品的檢測——可能來源於該技術已經非常古老(據今已28年),並且如今很少被使用。
其次,它無法調試——這是因為Microsoft從未為其提供調試功能,這給安全研究人員檢查複雜的Excel 4.0 Macro代碼帶來了巨大的挑戰。
惡意Excel文件樣本分析
FortiGuard Labs此次捕獲的惡意Excel文件樣本被命名為“1040 W2 IRS letter.xls”。顯然,攻擊者是想要將它偽裝成來自美國國家稅務局(Internal Revenue Service,IRS)。
圖2.惡意Excel文件樣本
分析表面,Excel 4.0 Macro就位於名為“Macro1”的工作表中。當然,你無法在上圖中看到該表,因為它被攻擊者設置為了“隱藏”。
惡意宏代碼位於Macro1的“$A$9591”單元格中,一旦執行,就將使用其中的參數執行程序“powershell.exe”,而該程序將從網站下載一個MSI文件,然後使用Windows程序“msiexe.exe”執行它。
圖3.Macro1 $A$9591單元格的內容
MSI文件分析
下載的MSI文件名為“unmodifiedness.msi”,包含具有PE結構(EXE文件)的二進制流。
圖4.具有二進制流的MSI文件結構
二進制流後續會被提取到一個臨時文件(如“MSI1613.tmp”)中,並在“msiexe.exe”進程中進行處理時執行。
提取的PE文件(MSI1613.tmp)是一種使用MS Visual Basic 5.0-6.0語言編寫的惡意軟件加載程序或下載程序。
啟動時,它會將惡意代碼轉移到子進程“ieinstal.exe”中並在其中執行。
長久駐留機制通過添加新的註冊表項實現,提取的PE文件將被複制並重命名為“%UserProfile%\Coauthor\JOHNNYCAKE.exe”。
圖5.被添加到自啟動組的新註冊表項
接下來,它將從http[:]//stubbackup[.]
ru/Host2_encrypted_3160FB0.bin下載一個加密的bin文件。
圖6.下載bin文件的包
最後,它將解密bin文件以獲取另一個PE文件,而該文件正是NetWire新變種的有效載荷。
NetWire有效載荷分析
NetWire有效載荷的執行從函數Start()開始。
為了實現按鍵記錄,另一個線程將會被啟動。
圖7.用於啟動按鍵記錄程序的線程
在與C&C服務器建立連接後,NetWire會將受感染計算機的當前系統時間、ID、登錄用戶、計算機名稱等信息一起發送給C&C服務器。
隨後,C&C服務器還會繼續以每分鐘一次的頻率向NetWire發送命令,以獲取當前處於最頂層的Windows窗口的標題(即受害者正在操作的窗口。比如,打開電子郵箱寫郵件,我們在瀏覽器或者郵箱客戶端頂部就會看到諸如“XX郵箱”這樣的標題)。
如果窗口標題符合匹配規則,那麼C&C服務器就會要求NetWire進行屏幕截圖,並以JPEG格式返回數據包。
圖8.以JPEG格式捕獲的屏幕截圖
結語
FortiGuard Labs警告稱,如今試圖藉助Excel 4.0 Macro Excel文件來傳播的惡意軟件數量呈現出明顯的上升趨勢。因此,我們再一次提醒大家,來源不明的各種文檔一定不要打開查看,謹防“好奇害死貓”。
