情报背景
近期,connectwise发现了一个利用Excel默认密码的攻击事件,在该事件中,攻击者使用了Excel的默认密码加密,借此改进钓鱼和进行防御规避,本文将对相关技术内容进行分析。
组织名称 | 未知 |
相关工具 | Remcos |
战术标签 | 防御规避 初始访问 |
技术标签 | 静态检测规避 钓鱼 |
情报来源 | https://www.connectwise.com/resources/formbook-remcos-rat |
01 攻击技术分析
攻击过程如下:
1.发送钓鱼的PDF邮件,在邮件中包含加密和压缩的Excel文档
2.经过解密和解压缩,还原Excel文档
3.诱骗受害者点击并执行宏代码
4.从宏代码中下载文件vbc.exe(实际是Remcos 后门)并执行,释放恶意Periodicity.dll
5.同时,vbc.exe将自身复制到%AppData%\Roaming中,重命名为iys.exe,使用vbs脚本执行上线iys.exe
6.vbc.exe 进行自删除并持久化,完成整个攻击流程
亮点:利用excel默认密码改善钓鱼手段和静态检测规避
在Excel中,可以使用保护功能对Excel加密,达到保证Excel完整性和保密性等作用。
1. 静态免杀效果
在本次攻击中,攻击者利用Excel的默认密码 VelvetSweatshop 对其进行加密,达到静态免杀的效果。
复现如下:
使用CS中生成的原生macro制作宏样本,某杀软扫描结果如下:
然后,使用默认密码VelvetSweatshop对其进行加密,再次扫描,没有报毒:
经过测试,使用Excel 2019时,经过加密后的宏会被禁用,微软在该版本下对其有更多的安全限制,更加安全。
具体警告内容如下:
2. 减少钓鱼诱导操作
在以往的钓鱼Excel中,如果对文档进行加密,需要受害者点开后输入密码。
但使用默认密码时,是不需要输入密码的。Excel会首先尝试使用嵌入的默认密码VelvetSweatshop 来解密和打开文件,如果设置的密码是默认密码,则不会有密码保护的弹窗。
02 总结
该攻击手法主要在Remcos后门为主导的恶意软件中使用。对宏的shellcode而言,该加密方式有较好的静态免杀效果,并可以减少钓鱼过程中的步骤,但同时对Excel的版本有一定的要求。
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team公众号
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
官方攻防交流群
网络安全一手资讯
攻防技术答疑解惑
扫码加好友即可拉群
往期推荐
8月活跃粉丝回馈
M01N Team公众号将根据
8月内所有推文留言的频率和质量
评选一名活跃粉丝
寄出小编精心准备的礼品一份
快来和M01N Team贴贴吧
如有侵权请联系:admin#unsafe.sh