NetWire,远控木马(Remote Access Trojan,RAT)家族中的一员,据说早在2012年就已经存在。
GuLoader,于2019年12月被发现的新型恶意文件下载程序,据称截止到目前已被大量网络黑客用于传播远控木马及间谍软件。
来自网络安全公司Palo Alto Networks旗下威胁情报团队Unit 42的最新消息称,GuLoader至少在上个月已经被用来传播NetWire RAT,而传播媒介则依旧主要是包含恶意附件或Web链接的Microsoft Word文档。
感染链分析
根据Unit 42团队的说法,上述发现起始于他们捕获的一封钓鱼电子邮件。电子邮件包含指向一份Microsoft Word文档的Web链接,而这份Word文档则被证实包含用于检索并下载GuLoader的Windows可执行文件的宏代码。
进一步分析表明,上述可执行文件在执行后会检索并下载经加密处理的NetWire RAT相关文件,完整的感染链如下图所示:
图1.GuLoader+NetWire感染链
诱饵文档分析
Unit 42团队表示,他们共发现了两个会产生上述相似感染链的恶意Web链接:
- hxxp://www.artizaa[.]com/Andys_18US_Tax.doc
- hxxp://murthydigitals[.]com/PM_2019_Screen_18_Tax_File.doc
换句话来说,通过这两个链接下载的Word文档最终都会导致你感染NetWire RAT,恶意文档如图2和图3所示:
图2.诱饵文档示例一
图3.诱饵文档示例二
如何确认是否被感染?
首先,为实现长久驻留,GuLoader会修改如下Windows注册表项:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
修改后的注册表项分别如图4和图5所示:
图4.被GuLoader修改的注册表项示例一
图5.被GuLoader修改的注册表项示例二
其次,因为最终感染的是NetWire RAT,所以你还可以在HKCU\Software\NetWire中找到注册表更新。
图6.NetWire的Windows注册表更新
最后,你还可以找到与NetWire感染相关的文件,如图7和图8所示:
图7.NetWire RAT在2020年3月25日渗透的数据示例一
图8.NetWire RAT在2020年3月25日渗透的数据示例二
结语
Unit 42团队表示,上述感染链对于使用默认安全设置的Windows 10计算机来说并不十分有效,原因有二:一是,自2013年以来,Microsoft Office各版本均默认启用了“受保护的视图”,以防止Word文档中的宏代码自动运行;二是,Windows Defender中的实时保护和篡改保护设置在防止Windows 10测试环境中的这些感染方面非常有效。
因此,我们强烈建议你,一是尽量不要为了“省事”而禁用一些安全设置,尤其是Windows Defender;二是一定不要轻易点击Word文档、Excel文档或其他文档中的“启用编辑”按钮,甚至是把宏设置修改为“启用所有宏”,这些操作只会将你的计算机置于危险之中。
