攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤

渗透技巧 2年前 (2022) admin
544 0 0
攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤

情报背景

近期,connectwise发现了一个利用Excel默认密码的攻击事件,在该事件中,攻击者使用了Excel的默认密码加密,借此改进钓鱼和进行防御规避,本文将对相关技术内容进行分析。


组织名称

未知

相关工具

Remcos

战术标签

防御规避 初始访问

技术标签

静态检测规避 钓鱼

情报来源

https://www.connectwise.com/resources/formbook-remcos-rat


01 攻击技术分析

攻击过程如下:

1.发送钓鱼的PDF邮件,在邮件中包含加密和压缩的Excel文档

2.经过解密和解压缩,还原Excel文档

3.诱骗受害者点击并执行宏代码

4.从宏代码中下载文件vbc.exe(实际是Remcos 后门)并执行,释放恶意Periodicity.dll

5.同时,vbc.exe将自身复制到%AppData%Roaming中,重命名为iys.exe,使用vbs脚本执行上线iys.exe

6.vbc.exe 进行自删除并持久化,完成整个攻击流程


亮点:利用excel默认密码改善钓鱼手段和静态检测规避

在Excel中,可以使用保护功能对Excel加密,达到保证Excel完整性和保密性等作用。

攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤
攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤


1. 静态免杀效果

在本次攻击中,攻击者利用Excel的默认密码 VelvetSweatshop 对其进行加密,达到静态免杀的效果。


复现如下:

使用CS中生成的原生macro制作宏样本,某杀软扫描结果如下:

攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤


然后,使用默认密码VelvetSweatshop对其进行加密,再次扫描,没有报毒:

攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤


经过测试,使用Excel 2019时,经过加密后的宏会被禁用,微软在该版本下对其有更多的安全限制,更加安全。

攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤


具体警告内容如下:

攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤


2. 减少钓鱼诱导操作

在以往的钓鱼Excel中,如果对文档进行加密,需要受害者点开后输入密码。

攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤


但使用默认密码时,是不需要输入密码的。Excel会首先尝试使用嵌入的默认密码VelvetSweatshop 来解密和打开文件,如果设置的密码是默认密码,则不会有密码保护的弹窗。

攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤


02 总结

该攻击手法主要在Remcos后门为主导的恶意软件中使用。对宏的shellcode而言,该加密方式有较好的静态免杀效果,并可以减少钓鱼过程中的步骤,但同时对Excel的版本有一定的要求。


攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。


攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群


往期推荐

攻击技术研判 | 近期频发钓鱼新手法:伪造弹出登录窗口进行钓鱼攻击

攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤

攻击技术研判 | 改进的反虚拟机反调试技术

攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”

攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤


攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤

8月活跃粉丝回馈

攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤

M01N Team公众号将根据

8月内所有推文留言的频率和质量

评选一名活跃粉丝

寄出小编精心准备的礼品一份

快来和M01N Team贴贴吧

原文始发于微信公众号(M01N Team):攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤

版权声明:admin 发表于 2022年8月15日 下午6:01。
转载请注明:攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...