使用 OneNote 文档投递 Snake Keylogger 的钓鱼活动分析

使用 OneNote 文档投递 Snake Keylogger 的钓鱼活动分析

1 概述

近日，安天CERT检测到一起利用文档投递Snake窃密木马的钓鱼活动。 攻击者向用户发送钓鱼邮件，诱导用户打开附件，执行文件中图片下隐藏的恶意文件，从而在用户主机上运行Snake窃密木马。

由于 宣布默认情况下阻止文档中的宏，因此攻击者正在试验其他类型的文件作为传播恶意软件的新载体。 利用文档传播恶意文件的钓鱼活动将在2022年底开始增多，目前已有多个恶意代码家族利用文档进行传播活动，包括Snake、QBot、、、、、等。攻击者通常插入一个模糊的图片或与钓鱼邮件主题相关的图片嵌入到文档中，诱导用户双击图片的指定部分进行查看，并可在文档中嵌入各类恶意文件，以及多个相同的恶意文件隐藏在图片下方，保证用户双击图片指定部分时，可以点击任意恶意文件。 如果用户无视风险提示继续执行，恶意文件将进入后续的攻击流程。

2020 年底出现的窃蛇木马是一种使用 .NET 开发的恶意软件。 该窃密木马可以在受害主机上进行键盘记录、截图、获取剪贴板内容、窃取目标应用软件中存储的用户名和密码信息等窃密功能，并具有多种数据返回方式。 窃密木马在被感染系统中实施隐藏、驻留、收集、监控等恶意行为，从而根据攻击者的需要传输敏感数据，给用户造成收入损失、名誉受损等严重后果。 从用户那里窃取的数据实施后续的攻击活动。

经验证，安天智能端点防御系统（简称IEP）能够阻止恶意执行体的运行，能够有效查杀窃密木马。

2.事件对应的ATT&CK映射图

对于攻击者下发窃密木马的完整过程，安天整理出了本次攻击事件对应的ATT&CK映射图，如下图所示：

图 2-1 技术特征到 ATT&CK 的映射

攻击者使用的技术点如下表所示：

ATT&CK阶段/类别

具体行为

笔记

资源开发

获取基础设施

获取数据回服务器

环境准备

在文件托管站点上托管恶意文件

初始访问

网络钓鱼

通过钓鱼邮件传播

实施

使用命令和脚本解释器

执行VBS脚本、命令

诱导用户执行

鼓励用户执行恶意文件

坚持

使用计划的任务/工作

创建定时任务持久化

防御闪避

反混淆/解码文件或消息

解码多层有效载荷信息

删除主机中的

删除用于创建计划任务的 XML 文件

混淆的文件或信息

加密的多层有效载荷信息

过程注入

注入最终的窃密木马有效负载

凭据访问

不安全的凭据

在不安全的应用程序、注册表中获取凭据

发现

发现应用程序窗口

获取键盘记录的窗口信息

查找文件和目录

发现指定目录下的应用软件

查询注册表

查询注册表获取应用软件信息

发现系统信息

发现系统信息

发现系统网络配置

发现系统网络配置

发现系统时间

发现系统时间

收集

收集剪贴板数据

收集剪贴板数据

收集本地系统数据

收集本地系统数据

输入捕获

键盘记录器

截图

截图

数据泄露

自动数据泄露

自动泄露被盗数据

使用非 C2 协议返回

通过FTP、SMTP，返回数据

定时传输

定时返回数据

三、保护建议

为有效抵御此类攻击，提高安全防护水平，安天建议企业采取以下防护措施：

3.1 识别钓鱼邮件

(1) 查看邮件的发件人：警惕发送“官方邮件”的无组织发件人；

(2)看收件人地址：警惕群发邮件，联系发件人确认；

(3)看发送时间：警惕非工作时间发送的邮件；

(4)看邮件标题：警惕带有“订单”、“收据”、“工资补贴”、“采购”等关键词的邮件；

(5)看正文措辞：警惕“亲爱的”、“亲爱的用户”、“亲爱的同事”等问候语比较笼统的邮件；

(6) 看文目的：警惕以“系统升级”、“系统维护”、“安全设置”等名义索要邮箱账号密码的邮件；

(7)看正文内容：警惕其所附的网页链接，尤其是短链接；

(8)查看附件内容：查看前必须使用杀毒软件对附件进行病毒扫描和监控。

3.2 日常邮箱安全使用保护

（1）安装终端防护软件：安装终端防护软件，在防护软件中开启邮件附件扫描检测功能，定期对系统进行安全检查，修复系统漏洞。

(2) 邮箱登录密码：设置邮箱登录密码时，保证其具有一定的复杂性（包括三字符元素），保证密码不记录在办公区显眼的地方，并定期修改登录密码.

(3)邮箱账号必须绑定手机：邮箱账号绑定手机后，不仅可以找回密码，还可以收到“登录异常”的提示信息，及时处理。

(4) 保护重要文件：

a) 及时清空收件箱、发件箱、垃圾箱中不再使用的重要邮件；

b) 备份重要文件，防止文件被攻击后丢失；

c) 重要邮件或附件加密发送，文本中不能包含解密密码。

(5) 应保护敏感信息：不要在互联网上发布敏感信息。 用户在互联网上发布的信息和数据将被攻击者收集。 攻击者可以通过分析信息和数据向用户发送有针对性的钓鱼邮件。

3.3 政企事业单位保护

(1)安装终端防护软件：安装杀毒软件，推荐安装安天智能终端防御系统；

(2) 加强密码强度：避免使用弱密码，建议使用16位或更长的密码，包括大小写字母、数字和符号的组合，避免多个服务器使用相同的密码；

（3）部署入侵检测系统（IDS）：部署流量监控软件或设备，便于发现和追溯恶意代码。 安天威胁检测系统（PTD）以网络流量为检测分析对象，能够准确检测大量已知恶意代码和网络攻击活动，有效发现可疑的网络行为、资产和各种未知威胁；

(4)安天服务：如果受到恶意软件攻击，建议及时隔离被攻击主机，做好站点保护，等待安全工程师上门检查； 安天7*24小时服务热线： .

经验证，安天智能端点防御系统（简称IEP）能够阻止恶意执行体的运行，能够有效查杀窃密木马。

图3‑1 安天智能臂实现对用户系统的有效保护

4. 攻击过程 4.1 攻击流程图

攻击者发送钓鱼邮件，诱使用户打开附件文档，执行文档中图片下隐藏的ee.vbs脚本文件； ee.vbs脚本执行后，从文件托管网站下载eme.ps1脚本，该脚本释放并执行可执行程序； 可执行程序运行后，释放并加载多个DLL文件，最后将Snake注入创建的子进程中运行。 Snake具有键盘记录、截屏、获取剪贴板内容、窃取目标应用软件用户名和密码等窃密功能，并具有FTP返回、SMTP返回、返回三种数据返回方式。

图 4‑1 攻击流程图

4.2 利用文档传播恶意文件

攻击者在文档中插入模糊图片，诱导用户双击指定位置查看。

图 4‑2 文档页面

原图“点此查看”下隐藏了3个ee.vbs文件。 当用户双击这个地方时，他会点击到任意一个脚本文件。 如果用户无视风险提示继续执行，脚本文件将进入后续的攻击流程。 后续攻击过程详见第5章“样本分析”部分。

图4-3 图片下隐藏的恶意脚本

5 样品分析 5.1 样品标签

表 5-1 样本标签

恶意代号

[PSW]/Win32。

原始文件名

。EXE文件

MD5

处理器架构

Intel 386 或更高版本，以及

文件大小

127.50KB（130,560 字节）

文件格式

/.EXE[:X86]

时间戳

2022-11-11 13:29:43

电子签名

没有任何

包装类型

没有任何

编译语言

。网

VT首次上传时间

2023-04-1009:22:01

VT测试结果

58/70

5.2 ee.vbs

VBS脚本执行后，从文件托管网站下载攻击者预托管的脚本到指定路径，并执行脚本文件。

图 5-1 VBS 脚本

5.3 eme.ps1

脚本执行后，对字符串进行解码，解码后的内容保存在“C:\Users\”目录下，命名为“eme.pif”。 该文件是用 .NET 编写的可执行程序。

图 5‑2 脚本

5.4 em.pif

可执行程序运行后，获取指定名称的资源得到C2200.dll文件，并调用DLL文件中的指定函数。

图5‑3 获取第一阶段DLL文件并调用指定函数

加载C2200.dll文件，休眠40秒，然后将指定字符的硬编码字符串替换解码，得到.dll文件； 加载.dll文件解码得到2个key字符串，根据字符串“UfVJ”得到eme。 pif程序中的图片资源，根据字符串“prh”对图片资源进行解码得到.dll文件。

图 5‑4 获取.dll文件

加载.dll文件，调用DLL文件中的指定函数。

图5‑5 调用.dll文件中的指定函数

5.5.dll

.dll文件主要执行三个功能：自我复制、创建定时任务、注入最终。

5.5.1 自我复制

将自己的程序复制到新路径，并重命名程序。

图5‑6 复制自己的程序到新路径

5.5.2 创建定时任务

将XML文件发布到%temp%目录，使用XML文件创建定时任务。

图 5‑7 使用 XML 文件创建计划任务

创建定时任务后，删除XML文件。

图 5-8 删除 XML 文件

5.5.3 注入最终负载

获取指定资源，对资源进行解码得到最终的。 创建子进程，将解码得到的Snake窃密木马注入子进程运行。

图5‑9 解码得到最终的

5.6 蛇窃木马

Snake窃密木马具有键盘记录、截图、获取剪贴板内容、窃取目标应用软件用户名和密码等窃密功能，并具有FTP返回、SMTP返回、返回三种方式。

5.6.1 键盘记录

监听键盘输入事件，获取用户当前使用的窗口信息wow自动钓鱼脚本，并将键盘记录器和窗口信息回传给C2服务器。

图 5‑10 键盘记录

5.6.2 截图

将屏幕截图保存在“我的文件”文件夹中，命名为.png，并发回C2服务器，然后删除截图文件。

图 5‑11 截图

5.6.3 获取剪贴板内容

获取系统剪贴板的内容，并发回给C2服务器。

图 5‑12 获取剪贴板内容

5.6.4 窃取目标

Snake窃密木马窃取邮件客户端、浏览器、即时通讯平台、FTP工具等应用软件中存储的用户名、密码等信息。 具体目标如下表所示。

表5‑2 应用软件窃取目标

5.6.5 返回方式

Snake窃密木马根据构建时的配置信息选择是否对返回信息进行加密。

图5-13 根据配置信息选择是否对返回信息进行加密

如果在构建时选择对返回信息进行加密，则使用DES算法对信息进行加密并对加密后的数据进行编码。

图 5-14 加密信息

Snake窃密木马有3种返回方式：FTP返回、SMTP返回、返回。 根据构建时的配置信息选择具体的返回方式。

图5-15 本例选择的返回方式

• 通过 FTP 回发

如果通过FTP返回信息，它会连接到攻击者的FTP服务器，并使用“STOR”命令将存储被盗数据的文件返回给服务器。

图 5-16 通过 FTP 发回

根据被盗信息的不同，返回的文件也不同，如下表所示。

表 5‑3 FTP返回文件窃取信息

窃取信息

返回文件

用户名和密码

-ID-.txt

键盘记录器

- 日志 ID - .txt

剪贴板内容

- 日志 ID - .txt

截图

- 日志 ID - .png

• 通过 SMTP 返回

如果通过SMTP返回信息，则会向恶意邮箱发送一封返回邮件，邮件的附件是存储被盗数据的文件。

图 5-17 通过 SMTP 返回

根据被盗信息的不同，邮件内容和附件也不同，如下表所示。

表 5‑4 SMTP 回邮

窃取信息

邮件内容

邮件附件

用户名和密码

私服 | 用户名 | 蛇

.txt, 用户.txt

键盘记录器

知识点 | 用户名 | 蛇

。TXT

剪贴板内容

| 用户名| Snake\r\n 受害主机信息

。TXT

截图

| 用户名| Snake\r\n 受害主机信息

.png

• 通过回调

该样本通过返回信息，将存储窃取数据的文件以POST方式提交给攻击者创建的服务器。

图 5‑18 回传

根据被盗信息的不同，返回的文件也不同，如下表所示。

表 5‑5 返回文件

窃取信息

返回文件

用户名和密码

。TXT

键盘记录器

。TXT

剪贴板内容

。TXT

截图

.png

6.总结

自从微软宣布默认阻止文档中的宏后，攻击者改变了传递恶意文件的方式，将文档作为传播恶意文件的新媒介。 攻击者向用户发送钓鱼邮件wow自动钓鱼脚本，诱导用户打开附件并执行隐藏在文档图片下的恶意文件，从而在用户主机上运行窃密木马、远程控制木马等恶意软件。

提醒用户不要轻易相信来历不明的邮件内容，确认邮件来源，警惕邮件中的诱导性内容。 安天CERT将持续关注攻击者新的攻击手段，并对相关攻击活动进行深入分析研究。

7. 国际奥委会

控制权

https[:]///!api/2.0/////files/.ps1

https[:]///:/?=