猫鼠游戏：三种被滥用的逃避技术

 简介

在对网络犯罪分子攻击手段的分析过程中，我们会不断遇到他们各式各样的伎俩，用以绕过企业的安全防御机制，这些伎俩有些是先进的，有些看起来显得“过时”，即使如此，在大多时候，通过对这些技术的有效应用也能帮助犯罪分子进入受害者的电脑，渗透到公司的网络之中。

本篇文章旨在揭示目前被各类网络犯罪分子滥用的一些技术细节，以帮助企业、安全运营商和行业减轻它们的影响。

技术分析

我们将从最近分析的三个案例中，重点介绍网络犯罪分子和威胁组织目前用来逃避检测的一些技巧：前两个案例是与Office文档相关的技术，用于隐藏恶意payload并引诱用户打开后感染；第三个案例则涉及到二进制payload，通过滥用代码签名技术来逃避传统安全控制技术。

表1.样本信息

我们分析的第一个案例中，攻击者使用了一个“已损坏”的文档来诱使用户选择“恢复原始文件”，并在系统没有提示警告的情况下下载恶意payload。在此例中，攻击者利用了漏洞CVE-2017-0199，它允许文档在打开时下载并执行任意代码，从“hxxps:// www.protectiadatator [.biz/js/Oj1/smile.doc "处外部引用远程代码并执行，如下图所示。

图1.样本中的外部资源

通常情况下，打开像这样的武器化文档时，会弹出一个下图所示的窗口警告用户存在指向外部文件的链接。

图2.弹出窗口警告

看到这条警告的用户在选择删除文件后就可以避免感染，但攻击者聪明地将文档中的某些字节删除了，使警告窗口的内容变得不一样，同时没有影响到攻击行为。

图3.损坏的文件

用户打开文档后，MS Word显示的是“文档已损坏，请确认是否恢复”，诱导用户选择恢复。

图4.弹出窗口报告无法打开文档

单击“是”后，MS Word会自动恢复文件内容并启动漏洞利用，这将下载并执行攻击者安插的payload。2.使用Office Developer Mode隐藏payload第二个技巧则是将payload隐藏在MS Office developer控件对象中，该组件通常对终端用户是不可见的。实际上，在大多数Office安装中，默认情况下都是禁用developer选项卡，因此识别异常对象的存在会更加困难。

该恶意文件开启后如下图所示。

图5.经典网络钓鱼文档

视图宏代码分析显示，真实的payload藏在名为“Kplkaaaaaaaz”的对象中。

图6.嵌入在文档中的部分宏代码

用户启用宏之后，该隐藏对象显示为一个小文本框(图7)，实际为Base64编码的payload。

图7.文档的修改视图

图8.提取的payload

通过该策略，恶意软件作者将可识别的payload移动到一个更难以检测的区域，在静态分析期间被检出的概率较低。

3.伪造签名

另一种被网络罪犯滥用的技术是“证书欺骗”，该技术能让恶意软件轻易绕过部分反病毒引擎。攻击者通过某些渠道将有效证书潜入恶意软件之中，将恶意软件伪装成合法的，我们在之前的文章《TA505武器之隐形电子邮件窃取器》中对此有过描述。还有些时候，即使是无效的证书也足以实现攻击目标，例如最近的Ursnif攻击活动。

图9. Ursnif样本上的欺骗签名

使用证书欺骗技术，攻击者可以使用来自任何网站的任意证书签署任意可执行文件。作为研究案例，我们利用赛门铁克网站证书签署了的已知Emotet二进制文件，如下所示。

表2.样本信息

表3.样本信息

图10.是否有假证书的样本之间的比较

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!