基本信息
| FileName | FileType | MD5 | Size |
|---|---|---|---|
| 58e4d0.xls | Downloader | 3effeba64d9a1a4dd1bddaeb1858e4d0 | 346112 bytes |
简介
带有恶意宏的office文件,加载dll,下载程序执行
流程图
详细分析
有宏,会在你允许宏运行的时候执行起来
首先会切换目录到TMPT下
然后会调用窗体UserFrom1的Show方法,也就值展示提示窗体
在展示的时候会执行UserFrom_Activate()函数,也就会调用CreatGifFile这个方法
这个方法在模块 modle1中定义
拼接在TEMP下的路径,根据系统位数走不同分支,我这里是win7 32位
下面会拷贝本身到上面拼接好的路径 TempName中,然后复制到ZipName中
会把ZipName文件按压缩包打开,取出xl\embeddings\oleObject1.bin保存到Tmp\oleObject.bin中
最后会调用ReadAndWriteExtractedBinFile函数,这个函数是在oleObject.bin中找到MZ开头的字符区,然后读取指定字节保存
定义好MZ头标记,方便后面查找
循环查找oleObject.bin中MZ开头的数据,然后拷贝到NewAr数组中
将数组中的数据保存到nm中,也就是 %APPDATA %+\exchange1.dll
然后程序返回CreateGifFile来执行关键代码,k32LL和Amway 都在模块2中定义
k32LL()其实是C语言中的LoadLibraryW()Amway则是这个dll的一个导出函数
exchange1.dll
有壳,先脱壳,这里就说说思路
这个壳动态开辟空间,将加密的代码放到这个新开空间中,找准时机,dump出来
然后你会发现还有UPX的壳,UPX就是容易了
脱完壳之后看导出表
到这里就可以看出来Amway其实是这个dll的到导出函数了
这个dll是个下载器,能够下载程序执行
但是首先会获取一系列系统信息
获取主机名
获取用户名
获取系统版本信息
枚举进程
然后将进程名按 |号隔开
后面就开始构造上传数据头了
开始上传本机信息
上传后会检测response的状态码是否是正常(200)
当上传配置后会get一个文件
这里会创建一个%temp%\boots.exe文件
打开文件,往里面写下载的数据
下面就是核心的地方了,新开一个进程,去执行这个下载的exe程序
由于目前这个C2地址已经失效,无法获得下载数据,但是能肯定的是这个下载程序才是这个木马的核心,因为这个宏代码中没有用做任何持久化处理。
IOC
| 域名 | 类型 |
|---|---|
| https://office-teml-en.com/tw | C&C |
总结
该木马利用加载隐藏在xlsx中的dll来执行命令,根据不同系统释放不同文件,利用网络存储,可以随时改变攻击方式。
我们要时刻保持警惕,对未知文件保持怀疑的态度,安装安全软件。
本博客所有文章除特别声明外,均采用 CC BY-SA 3.0协议 。转载请注明出处!