近日，FortiGuard Labs公開披露瞭一場針對海外華人的網絡攻擊活動。在這場活動中，攻擊者利用瞭已知的WinRAR文件漏洞（CVE-2018-20250）和RTF文件漏洞（CVE-2017-11882）來使惡意軟件能夠繞過常規的認證檢查。此外，“水坑攻擊（Watering hole）”在這場活動中也得到瞭運用——攻擊者利用瞭一個被黑掉的國外中文新聞網站來傳播惡意軟件。也可以這麼理解，這場網絡攻擊活動瞄準的正是海外華人。被黑掉的國外中文新聞網站FortiGuard Labs表示，這個被黑掉的中文新聞網站位於美國，被攻擊者註入瞭惡意網絡釣魚鏈接，大多偽裝成該網站的介紹頁面。此外，還有一個“聯系我們的Twitter”的鏈接，實際上是一個網絡釣魚Twitter登錄頁面。圖1.偽裝成網站介紹頁面的釣魚鏈接（紅框）和虛假Twitter登錄頁面鏈接（藍框）圖2.在被黑網站上運行的惡意JS腳本圖3.去混淆後的JS腳本惡意JS腳本首先會檢查cookie數據，以確保訪問來自Windows系統。然後，它會檢查是否存在“___utma”，這是一個用於區分Google Analytics中用戶和會話的Cookie。如果存在，它接下來就會將另一個腳本從“hxxps://click.clickanalytics208[.]com/s_code.js?cid=239&v=243bcb3d3c0ba83d41fc”下載到被黑網站上。那麼，這個腳本是用來幹嘛的呢？它能夠執行從C2服務器接收到的任意JS腳本。惡意軟件分析如上所述，感染有兩種途徑：一種是利用瞭WinRAR文件漏洞（CVE-2018-20250），另一種是利用RTF文件漏洞（CVE-2017-11882）。圖4.WinRAR漏洞利用（CVE-2018-20250）1.利用WinRAR漏洞（CVE-2018-20250）提取後門惡意.rar文件實際上是一個.ace文件，它有一個對應的解壓路徑，見圖4藍框。通過利用WinRAR漏洞（CVE-2018-20250）將conf.exe解壓縮到啟動文件夾中，它可以實現在系統啟動時自動執行。FortiGuard Labs表示，攻擊者發起這場活動很有可能隻是為瞭對惡意軟件進行測試，因為隻有當用戶名為“test”時，conf.exe才能夠被正確提取。此外，FortiGuard Labs還發現conf.exe感染瞭Sality，一種多態的感染型惡意軟件。執行conf.exe時，conf.exe中的後門payload和Sality傳染源shellcode（Sality C2服務器目前處於非活躍狀態）將同時執行。圖5.後門C2（綠框）和Sality C2（紅框）2.利用RTF漏洞（CVE-2017-11882）下載後門提取的.doc文件實際上是一個.rtf文件，它會觸發Microsoft公式編輯器，運行regsvr32.exe連接到154.222.140[.]49，然後下載一個被命名為“123.sct”的惡意腳本。圖6.RTF漏洞利用（CVE-2017-11882）圖7.用於下載惡意軟件下一階段payload的腳本“123.sct”執行後，123.sct會將“hxxp://154.222.140[.]49/qq.exe”下載到“C:\\Windows\Temp\conf.exe”。需要說明的是，通過這種渠道提取的conf.exe沒有感染Sality。後門payload分析FortiGuard Labs表示，他們在這場活動中共發現瞭2個不同版本的後門payload，但都具有相同的後門功能。當它們運行時，它們都會分配內存並動態加載一個惡意DLL，且導出函數也都一樣，如下圖所示。圖8.惡意DLL的導出函數1. DealC該函數負責收集系統信息，並上傳到C2服務器。2. DealR該函數被用於惡意軟件的安裝。有兩種安裝方式：第一種是將惡意軟件註冊到“HKCU\Software\Classes\Folder\Shell\test\Command”，以便為復制的惡意軟件添加快捷方式；第二種是將惡意軟件註冊到“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”，並使用路徑“[%PROGRAMDATA%]\Mpclient.exe”作為參數，以實現持久性。有意思的是，它還會檢查自己的名字是否是“kphonewiz（金山手機助手）”或“kminisite（金山毒霸熱點新聞）”，這進一步表明這個後門惡意軟件針對的是中國人。圖9.有意思的字符串，進一步表明該惡意軟件針對的是中國人3. DealS在運行後門的主組件之前，DealS將加載Windows庫。它這樣做的目的是為瞭收集Windows API調用函數地址，以便在內存中生成函數表。通過移動特定索引，使用簡單的字符表對所有庫名稱和函數名稱進行編碼。圖10. 函數表創建和名稱字符串解碼函數然後，它會將其安裝路徑從註冊表“Software\Microsoft\Windows\CurrentVersion\Run”文件保存到文件“[%PROGDATA%]/Destro”。主要功能這種惡意軟件包含瞭一些隱秘的功能，旨在收集系統信息並將信息上傳到C2服務器。此外，它還可以下載文件，並為進一步的攻擊創建一個反向shell。後門功能：收集系統信息收集磁盤硬件信息收集特定目錄下的目錄列表收集特定目錄中的文件列表收集已安裝的程序列表收集進程列表從不同的應用程序收集數據，例如Skype、Fetion、SogouInput和SogouDesktopBar等收集網絡適配器信息搜索文件收集截圖創建一個反向shell下載文件獲取收集的文件MD5哈希收集剪貼板文本收集CPU信息惡意軟件開發歷程FortiGuard Labs表示，這個後門惡意軟件自2017年以來一直在被使用，以下是開發的時間表：圖11.後門惡意軟件開發時間表有意思的是，這個後門惡意軟件總是使用一些中文軟件的名稱來誘使受害者執行它。起初，它隻是一個可執行文件，但在2018年被更改為瞭DLL版本，被加密並保存在加載程序的數據部分中。當加載程序運行時，後門DLL將被解密並加載。最新的樣本被命名為“XLAccount.dll”（似乎是想要偽裝成“迅雷遊戲盒子”），它有一個有意思的新功能，能夠收集有關一款名為“Shadowsocks”的VPN工具的信息。用過的人都知道，這是一款“翻墻”工具。結論在這場網絡攻擊活動中，黑客入侵瞭一傢美國中文新聞網站，並註入瞭網絡釣魚鏈接，且惡意腳本到目前為止仍在運行。自2017年以來，雖然攻擊者已經多次更新瞭他們的後門惡意軟件，但仍就一直試圖通過使用一些中文軟件的名稱來偽裝它們。通過對後門惡意軟件的功能以及C2服務器的分析，FortiGuard Labs認為攻擊者仍在進行他們的惡意軟件測試活動，以便為他們的惡意軟件增加新的功能，進而竊取數量更大、類型更多的信息和數據。