【技术分享】利用Office模版注入攻击关键基础设施

译者：myswsun

预估稿费：160RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

0x00 前言

攻击者一直在尝试通过邮件发送恶意软件的新的方式。Talos确认了一起基于邮件的针对能源行业（包括核能）的攻击，有别于经典的word文档的附件钓鱼攻击。通常，恶意的Word文档作为钓鱼邮件的附件，他们包含能执行恶意代码的脚本或者宏。在这个例子中，附件本身没有恶意代码。但是附件尝试通过SMB连接下载一个模版文件，以便可以获取用户的凭据。另外，这个模版文件也能用于下载其他恶意的payload。

0x01 背景

从2017年5月，Talos观察到攻击者的目标是关键的基础设施和能源公司，尤其是欧洲和美国的。这些攻击者的目标都是关键基础设施的供应商，这些供应商提供关键服务。对于关键基础设施的攻击并不是新问题，攻击者试图了解关键基础设施的ICS网络，一般都不怀好意。这个最新的攻击似乎在收集工作于关键基础设施和制造业的用户的凭据。使用新的攻击手法，通过发送恶意邮件盗取凭据。这些文档一旦打开，就会试图从攻击者控制的外部SMB服务器得到一个模版文件。

0x02 技术分析

从最近的攻击中得到了一些DOCX的样本，他们是通过恶意的电子邮件传播的。如下面所示，这些文件伪装成环境报告或者简历。

我们首先希望能找到一些恶意的VBA宏或者嵌入的脚本。检查VBA没有结果：

通过另一个工具运行再次确认：

没有嵌入二进制。通过研究这个样本中与攻击相关的IP地址，但是服务器已经不再接受请求了。转换思路，我们建立了一个独立的环境的服务器，并在TCP 80端口监听，以判断文档的行为。

截图如下，我们看到了一些有趣的东西：

文档试图从特定的IP下载一个模版文件，但是通过TCP 80端口连到了我们蜜罐服务器上。我们的实时捕获显示了TCP 445的握手失败。现在可以手动解析文档来了解IP地址相关的内容。我们找到了模版注入的实例而非代码：

我们初步判断攻击者试图通过恶意的SMB服务器来获取用户凭据。在样本中，我们可以看到一个被注入的模版用来和一个外部SMB服务器建立连接。不过，这没有解释为什么同一个样本会尝试通过TCP 80建立会话。在深入研究之后，我们决定在沙箱虚拟机中配置通过SMB的连接。简言之，由于主机的网络配置，当请求模版时，通过SMB会话会有WebDAV连接。当另一个监听TCP 80的外部服务器不再提供模版时，另一样本确认了这个情况。

继续看，模版设置的是指定的Relationship ID：rld1337，其在样本word/_rels/settings.xml.rels中。研究这个Relationship ID，使我们在Github中找到了一个名为Phishery的钓鱼工具，在它的模版注入中能发现相同的ID：

在前面的Go代码的底部能找到相同的ID：

然而，Phishery不依赖恶意的SMB服务器。而且，连接是通过HTTPS的，并且通过基本认证的提示来获取用户的凭据。通过SMB请求，这种提示就可以避免。实际上，这个工具和报告的攻击依赖于精确的相同的Relationship ID的模版注入，可能表明：

1. 是个巧合

2. 攻击者看到了这个工具，并且修改或者使用同样的想法开发的

3. 攻击者使用相同ID是为了混淆分析

此时，没有任何证据确认上面3种可能性。然而，攻击者依赖通过TCP 445的流量的SMB会话是可以确定的。对于SMB不需要凭据提示，我们能知道这种技术既简单又有效。如果攻击者能破环一个主机并且在内部运行一个服务器，这将变得更加严重。

而且，因为攻击者控制的SMB服务器挂了，无法确认是否能通过模版下载释放payload。正如我们最近看到的攻击，攻击的意图并不总是明显的。SMB请求到外部服务器多年来一直是个安全漏洞。没有进一步的信息来确定攻击的规模或者涉及的payload。

0x03 总结

Talos已通知了受影响的用户，确保了他们知道的威胁和应对能力。它也说明控制你的网络流量的重要性，不要允许类似的SMB的协议的流量，除非我们需要。另外，写了一些ClamAV特征和电子邮件规则，以便确认这种office模版注入技术。

0x04 IOCs

由于这些攻击的来源，我们无法分享所有的IOC；然而，我们尽可能多的分享如下：

恶意文档

文件名: Report03-23-2017.docx

SHA256: 93cd6696e150caf6106e6066b58107372dcf43377bf4420c848007c10ff80bc9

文件名: Controls Engineer.docx

SHA256: 

b02508baf8567e62f3c0fd14833c82fb24e8ba4f0dc84aeb7690d9ea83385baa

3d6eadf0f0b3fb7f996e6eb3d540945c2d736822df1a37dcd0e25371fa2d75a0

ac6c1df3895af63b864bb33bf30cb31059e247443ddb8f23517849362ec94f08

相关IP地址：

184[.]154[.]150[.]66

5[.]153[.]58[.]45

62[.]8[.]193[.]206