通過iqy檔案傳播FlawedAmmyy惡意軟體
攻擊者在不斷尋找新的技術來傳播惡意軟體,最近研究人員發現一種通過iqy檔案傳播惡意軟體的新方法。截止目前,已經發現有通過word文件、指令碼檔案、Java檔案、IQY檔案傳播惡意軟體的案例。
圖1: 攻擊鏈
IQY檔案是一種Excel Web Query(excel web查詢)檔案,用於從網際網路下載資料。其中含有通過網路進行查詢所需的引數。感染源是垃圾郵件或魚叉式釣魚攻擊活動,一般含有PDF或IQY附件,用於傳播惡意軟體。這些檔案在攻擊者傳播FlawedAmmyy RAT(remote access trojan遠端訪問木馬)時都用到了。
圖2: 垃圾郵件
使用者在收到含有PDF或iqy檔案附件的垃圾郵件後,一旦點選pdf檔案,就會出現開啟嵌入的iqy檔案的彈窗,如下圖所示:
圖3: PDF附帶的iqy檔案
Pdf附件中含有從pdf檔案中匯出iqy檔案的指令碼,exportDataObject函式會顯示一個“open file”的對話方塊,保持使用者參與檔案匯出的過程。函式還含有開啟附件的輸入引數。
這個例子中,importDataObject函式用於將iqy檔案匯入,並命名為13082016.iqy。下面是iqy檔案中開啟附件的程式碼:
this[exportDataObject] ({ cname: “13082016.iqy”, nLaunch:2})
cName引數是必須輸入的,指定了需要匯出的特定的檔案附件。nLaunch的值為2,會將acrobat儲存附件為臨時檔案,然後請求作業系統開啟該檔案。這就是程式碼開啟pdf中的附件的原理。
圖4: PDF檔案中的指令碼
在點選開啟檔案後,Excel會自動開啟iqy檔案,然後開啟從檔案中的URL處取回內容。但Excel不允許從伺服器下載資料,所以會有安全檢查,為了執行檔案,需要點選enable。
圖5: 安全檢查
開啟安全檢查後,iqy檔案會下載到受害者裝置的%temp%目錄,然後執行。下圖是含有URL和引數的iqy檔案示例。
圖6: IQY檔案
iqy檔案執行後,會啟用命令列開始一個Powershell程序。該過程執行powershell指令碼無檔案執行,如下圖:
圖7: Shell/">PowerShell命令
PowerShell命令儲存在excel文件的A0位置,並執行。然後執行一個powershell命令,命令會從指令碼中的URL處下載一個字串,並用IEX引數執行。
圖8: PowerShell指令碼
PowerShell指令碼會下載和執行可執行檔案—— FlawedAmmyy後門。FlawedAmmyy RAT從2016年開始活躍,含有常見後門的所有功能,包括遠端控制機器、管理檔案、截圖。該木馬是利用Ammyy Admin遠端桌面軟體的version 3版本原始碼建立的,目前已經影響銀行和汽車行業。
結論
攻擊者在不斷的尋找新的傳播惡意軟體的方法,IQY檔案就是其中之一,所以應該儘早準備預防這類感染。使用者在開啟可疑郵件的附件時需要提高警惕。