攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤
2022-8-15 18:25:37 Author: mp.weixin.qq.com(查看原文) 阅读量:48 收藏

情报背景

近期,connectwise发现了一个利用Excel默认密码的攻击事件,在该事件中,攻击者使用了Excel的默认密码加密,借此改进钓鱼和进行防御规避,本文将对相关技术内容进行分析。

组织名称

未知

相关工具

Remcos

战术标签

防御规避 初始访问

技术标签

静态检测规避 钓鱼

情报来源

https://www.connectwise.com/resources/formbook-remcos-rat

01 攻击技术分析

攻击过程如下:

1.发送钓鱼的PDF邮件,在邮件中包含加密和压缩的Excel文档

2.经过解密和解压缩,还原Excel文档

3.诱骗受害者点击并执行宏代码

4.从宏代码中下载文件vbc.exe(实际是Remcos 后门)并执行,释放恶意Periodicity.dll

5.同时,vbc.exe将自身复制到%AppData%\Roaming中,重命名为iys.exe,使用vbs脚本执行上线iys.exe

6.vbc.exe 进行自删除并持久化,完成整个攻击流程

亮点:利用excel默认密码改善钓鱼手段和静态检测规避

在Excel中,可以使用保护功能对Excel加密,达到保证Excel完整性和保密性等作用。

1. 静态免杀效果

在本次攻击中,攻击者利用Excel的默认密码 VelvetSweatshop 对其进行加密,达到静态免杀的效果。

复现如下:

使用CS中生成的原生macro制作宏样本,某杀软扫描结果如下:

然后,使用默认密码VelvetSweatshop对其进行加密,再次扫描,没有报毒:

经过测试,使用Excel 2019时,经过加密后的宏会被禁用,微软在该版本下对其有更多的安全限制,更加安全。

具体警告内容如下:

2. 减少钓鱼诱导操作

在以往的钓鱼Excel中,如果对文档进行加密,需要受害者点开后输入密码。

但使用默认密码时,是不需要输入密码的。Excel会首先尝试使用嵌入的默认密码VelvetSweatshop 来解密和打开文件,如果设置的密码是默认密码,则不会有密码保护的弹窗。

02 总结

该攻击手法主要在Remcos后门为主导的恶意软件中使用。对宏的shellcode而言,该加密方式有较好的静态免杀效果,并可以减少钓鱼过程中的步骤,但同时对Excel的版本有一定的要求。

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

往期推荐

攻击技术研判 | 近期频发钓鱼新手法:伪造弹出登录窗口进行钓鱼攻击

攻击技术研判 | 改进的反虚拟机反调试技术

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”

8月活跃粉丝回馈

M01N Team公众号将根据

8月内所有推文留言的频率和质量

评选一名活跃粉丝

寄出小编精心准备的礼品一份

快来和M01N Team贴贴吧


文章来源: http://mp.weixin.qq.com/s?__biz=MzkyMTI0NjA3OA==&mid=2247489288&idx=1&sn=6d75e45249ac3958ca637356c642d2dc&chksm=c187d719f6f05e0f10fa36604216a5313603d5df6c082f76c5d896e3fe4fd6e3a8565a527f77&mpshare=1&scene=1&srcid=0815zKc8lOxdTTzvdfGTdwXO&sharer_sharetime=1660559127741&sharer_shareid=205c037363a9188e37dfb6bb4436f95b#rd
如有侵权请联系:admin#unsafe.sh