NetWire,远控木马(Remote Access Trojan,RAT)家族中的一员,在过去的几年里主要被网络黑客用于从目标Windows主机手机各种凭证、硬件信息(包括硬盘驱动器、网卡等)以及按键记录。
值得一提的是,NetWire RAT还是一种商业化的软件,包年的费用也就不过120美元而已。
图1.在网上出售的NetWire RAT
近日,FortiGuard Labs就再次捕获了一个新的NetWire RAT变种,它也是首个试图借助Excel 4.0 Macro传播的NetWire RAT变种。
什么是Excel 4.0 Macro?
Excel 4.0于1992年发布,包含Macro的早期版本,因此这种宏被称为“Excel 4.0 Macro”。尽管在1993年被VBA宏替代,但微软出于兼容考虑,还是保留了后续版本Microsoft Excel对Excel 4.0 Macro的支持。
为什么Excel 4.0 Macro会遭到滥用?
首先,它可以绕过目前市面上大多数防病毒产品的检测——可能来源于该技术已经非常古老(据今已28年),并且如今很少被使用。
其次,它无法调试——这是因为Microsoft从未为其提供调试功能,这给安全研究人员检查复杂的Excel 4.0 Macro代码带来了巨大的挑战。
恶意Excel文件样本分析
FortiGuard Labs此次捕获的恶意Excel文件样本被命名为“1040 W2 IRS letter.xls”。显然,攻击者是想要将它伪装成来自美国国家税务局(Internal Revenue Service,IRS)。
图2.恶意Excel文件样本
分析表面,Excel 4.0 Macro就位于名为“Macro1”的工作表中。当然,你无法在上图中看到该表,因为它被攻击者设置为了“隐藏”。
恶意宏代码位于Macro1的“$A$9591”单元格中,一旦执行,就将使用其中的参数执行程序“powershell.exe”,而该程序将从网站下载一个MSI文件,然后使用Windows程序“msiexe.exe”执行它。
图3.Macro1 $A$9591单元格的内容
MSI文件分析
下载的MSI文件名为“unmodifiedness.msi”,包含具有PE结构(EXE文件)的二进制流。
图4.具有二进制流的MSI文件结构
二进制流后续会被提取到一个临时文件(如“MSI1613.tmp”)中,并在“msiexe.exe”进程中进行处理时执行。
提取的PE文件(MSI1613.tmp)是一种使用MS Visual Basic 5.0-6.0语言编写的恶意软件加载程序或下载程序。
启动时,它会将恶意代码转移到子进程“ieinstal.exe”中并在其中执行。
长久驻留机制通过添加新的注册表项实现,提取的PE文件将被复制并重命名为“%UserProfile%\Coauthor\JOHNNYCAKE.exe”。
图5.被添加到自启动组的新注册表项
接下来,它将从http[:]//stubbackup[.]
ru/Host2_encrypted_3160FB0.bin下载一个加密的bin文件。
图6.下载bin文件的包
最后,它将解密bin文件以获取另一个PE文件,而该文件正是NetWire新变种的有效载荷。
NetWire有效载荷分析
NetWire有效载荷的执行从函数Start()开始。
为了实现按键记录,另一个线程将会被启动。
图7.用于启动按键记录程序的线程
在与C&C服务器建立连接后,NetWire会将受感染计算机的当前系统时间、ID、登录用户、计算机名称等信息一起发送给C&C服务器。
随后,C&C服务器还会继续以每分钟一次的频率向NetWire发送命令,以获取当前处于最顶层的Windows窗口的标题(即受害者正在操作的窗口。比如,打开电子邮箱写邮件,我们在浏览器或者邮箱客户端顶部就会看到诸如“XX邮箱”这样的标题)。
如果窗口标题符合匹配规则,那么C&C服务器就会要求NetWire进行屏幕截图,并以JPEG格式返回数据包。
图8.以JPEG格式捕获的屏幕截图
结语
FortiGuard Labs警告称,如今试图借助Excel 4.0 Macro Excel文件来传播的恶意软件数量呈现出明显的上升趋势。因此,我们再一次提醒大家,来源不明的各种文档一定不要打开查看,谨防“好奇害死猫”。
