行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
黑客使用Windows 10 RDP ActiveX控件运行TrickBot Dropper
2020-03-02 09:13:56 【

一群黑客正在使用Word文档中的远程桌面ActiveX控件在Windows 10上自动执行一个名为Ostap的恶意软件下载程序,该程序最近被TrickBot用来传送。

安全研究人员发现了数十个文件,这些文件传递了第一个恶意软件有效负载,这表明行动规模更大。

从网络钓鱼开始

由Bromium研究人员进行广泛分析Ostap 是通过带有恶意宏代码并包含据称显示加密内容的图像的Word文档发送的。这是诱使受害者在文档中启用宏的诡计。

威胁者通过伪装成丢失付款通知的网络钓鱼电子邮件来发送恶意文档。附件中是邮件中提及的伪造发票。




Morphisec的安全研究人员分析了中毒的文档,并注意到嵌入式图像下方隐藏了一个ActiveX控件。

仔细观察发现,威胁参与者使用了MsRdpClient10NotSafeForScripting类该类用于远程控制。Windows 10是最低受支持的客户端,Windows Server 2016是最低受支持的服务器。

可以将ActiveX控件添加到Word文档中的文本或图形图层,以使其具有交互性。

聪明地交付和执行

Morphisec的Michael Gorelik 今天一份报告中写道,文档中存在Ostap下载器的java script代码,该字体的字体与背景颜色相同,因此肉眼看不见。



另一个有趣的发现是,攻击者并未在与远程桌面服务器建立连接所需的MsRdpClient10NotSafeForScripting类中填充“服务器”字段。



攻击者并不能因此而忽略,因为发生的错误有助于稍后执行恶意代码,从而逃避了检测。

在检查宏时,研究人员发现“ _ OnDisconnected ”函数充当触发器,但仅在由于无法连接到不存在的服务器而返回错误后才起作用。

“除非错误号与“ disconnectReasonDNSLookupFailed”完全匹配(260),否则OSTAP将不会执行; OSTAP wscript命令由取决于错误号计算的字符组合而成。” -迈克尔·戈列里克(Morphisec)

然后,在采用.BAT文件的形式后立即执行后门,并关闭文档形式。

Gorelik告诉BleepingComputer,该角色不是唯一依靠ActiveX控件执行恶意软件的角色。一月份出现的其他参与者使用了 易于检测OnConnecting方法。

相比之下,OnDiconnected方法需要特定的返回值,并且在DNS查找完成时也存在延迟。这对攻击者有利,因为扫描程序可能会错过恶意活动并将文件标记为良性。

[更新02/28/2020,美国东部时间16:01]:更新文章以反映Morphisec的一项更正,该错误涉及误识别FIN7威胁参与者通常使用的带有Griffon后门的Ostap下载程序。



】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇已主动检测到Apache Tomcat Ghost.. 下一篇NVIDIA修复了Windows GPU显示驱动..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800