情报背景
近期,Cluster25的研究员发现了全新的PowerPoint代码执行技术。攻击者罕见地利用了PPT中的鼠标悬停事件来执行代码,以此作为恶意宏与URL超链接的替代方案,使得钓鱼文档在宏被严格限制的今天死灰复燃,拥有载荷投递的能力。本文将就本次事件中出现的技术进行分析研判。
组织名称 | TSAR |
组织编号 | APT28 |
相关工具 | SyncAppvPublishingServer.vbs |
战术标签 | 载荷投递 |
技术标签 | LOLBAS |
情报来源 | https://blog.cluster25.duskrise.com/20 22/09/23/in-the-footstepsof-the-fancy-bear-powerpoint-graphite/ |
01 攻击技术分析
亮点一:利用鼠标悬停执行命令
攻击者投递的样本为PPT文件,在PPT首页上覆盖了一张透明图片:
PPT上方的透明图片
并且,给透明图片添加了相应的鼠标悬停事件:
鼠标悬停事件的超链接
当鼠标悬停于图片上时,将打开超链接指向的目标文件,执行后续攻击流程。鼠标悬停触发执行的部分代码如下:
鼠标悬停事件执行代码
代码中包含一个PowerShell脚本,该脚本通过系统中的LOLBAS白名单脚本SyncAppvPublishingServer.vbs来代理执行,有效提升了样本的防御规避效果:
白名单脚本代理执行PowerShell
亮点二:已被修复的Power Hover悬停执行技术
在原本的Power Hover攻击方式中,可以通过修改.ppsx组成文件slide1.xml.rels中的hyperlink,将超链接修改为远端部署的恶意文件,实现无需宏代码的载荷下载执行:
Power Hover攻击修改的xml文件
随着漏洞CVE-2021-40444漏洞的修复,类似”file:///”的URL Scheml被禁用,即使可以利用文章中提及的方式触发执行本地文件,但也已经无法再通过URL超链接下载远端载荷。而通过文档中类似事件的触发,结合SyncAppvPublishingServer.vbs调用PowerShell,实现载荷的下载执行,再次将恶意文档防御撕开了口子。
02 总结
在本次事件中,攻击者利用钓鱼文档另辟蹊径,以鼠标悬停事件作为触发点,结合本地脚本执行,完成载荷的投递与执行。在宏、URL Scheml等内置功能被一再限制的今天,攻击者在文档攻击场景中寻求新的攻击方式,利用鼠标悬停事件触发执行的新方式便是在这个背景下产生的。文档攻击依然是实现社工突破的重要手段,其衍生出的新恶意利用方式值得持续关注与防范。
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team公众号
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
官方攻防交流群
网络安全一手资讯
攻防技术答疑解惑
扫码加好友即可拉群
往期推荐