打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 关于我们 > 企业新闻

新闻与活动

亚信安全最新资讯与活动。

【安全通告】警惕!MassLogger窃密软件来袭,利用Office文档漏洞传播
发布时间 :2021年01月15日
类型 :勒索软件
分享:

安全通告


近日,亚信安全截获了一款通过垃圾邮件传播的信息盗窃病毒MassLogger,一旦用户打开邮件中的附件,就会在特定版本的Office软件上触发恶意代码执行漏洞,从黑客的C&C服务器上下载恶意软件到本机。这些恶意软件经过解码,加载DLL,最终执行信息盗窃病毒MassLogger。该病毒对自身代码进行了混淆,且采用反射加载技术。其功能较多,包括收集受害者的电脑基本信息、浏览器配置信息、浏览器密码、邮箱配置、剪切板内容以及键盘记录等。


攻击流程


eee3fadd901cd4979e54cc7314bc9945.jpg


病毒详细分析


RFQ 54635378.doc & Commercial Invoice .doc 分析


该样本利用Office WinWord漏洞CVE-2017-11882执行Shellcode,因Office工具软件公式编辑器使用了不安全的函数strcpy()使得攻击者可以进行栈溢出攻击执行任意代码。


bc5416d43b957f1e540c3de0559628b9.jpg


Shellcode执行的动作是从C&C下载恶意文件并运行。C&C:hxxp://gooddns.ir/atlasx/atlasx.exe


c07a447b693458b4cdcfd92752054e7d.jpg


cf0bce9fb7e0dacb9cc2786965a594b1.jpg



Atlasx.exe分析

将硬编码到自身的DLL加载到内存。


9e15b6923b5981a03ccdb3917ea68787.jpg


33abe7acab2e915dcdfcae03f806b0ed.jpg


Fqbojh.dll分析

调用DLL中的函数检测杀毒软件。


d1ea708108d97454dedfe900ef44b706.jpg


调用DLL函数检测虚拟环境。


8878955c43c18f7dcf53e4a62e3a7b30.jpg


调用DLL函数新开线程解密并加载执行木马MassLoggerBin.exe。


0e2b5f90308c90203c027685444d0cf7.jpg


尝试链接C&C下载信息。


7e4657a932044ac459a1062eb06ec9f4.jpg



MassLoggerbin.exe分析

该样本首先检测是否存在杀毒软件。


659505662525fbe4e398191f41898d51.jpg


解密配置信息,包括FTP服务器地址,电子邮件地址以及相应的账号密码。


3e45d9e9d6e35d7b5562378d36ec9a8f.jpg


8b90969a1256cf446616f00c467f3542.jpg


目前此邮箱已无法访问。


b3fc8a12e40d77b33dd7ab7691d76001.jpg


收集系统相关信息(如:进程列表、CPU型号、国家地区等)和剪切板包含的文字信息。


ba95fbcea58666482b714b927dbcac75.jpg


c27ee9161abff067f55e54face935b5f.jpg


查询注册表收集各个版本的Outlook的各种配置信息。


c81d29abd68def547a7bc003a18a382f.jpg


a0c02b441a79b0deaf425bf90c19fbea.jpg


76449829a3d0a9b1fd51a2f2fdc809ee.jpg


收集firefox浏览器存贮在本地的密钥数据库文件。


5dd4ca953c7ad2fd08055afb5281fc51.jpg


收集QQ浏览器配置信息。


f49fb160617a13d451cce8509f7426b2.jpg


收集Discord信息。


26495b4131184655e8b69dec6b7750e3.jpg


收集NordVPN信息。


9667acc844bde3e02362780cc82c5a2d.jpg


键盘记录和剪切板记录信息。


a040d15d8f662bd4966b31d09be840e0.jpg


e09e16eae931659ada32ad2e6f337d46.jpg


将收集到的信息保存为文本,通过SMTP上传到黑客服务器。


86e3a5202a5ddd1b6bca0517fd94a1ee.jpg


da77acd6981fec37dbc7979f37b50bff.jpg


亚信安全产品解决方案



亚信安全病毒码版本16.467.60,云病毒码版本16.467.71,全球码版本16.469.00已经可以检测,请用户及时升级病毒码版本;

亚信安全 DS DPI检测规则如下:

1008746-Microsoft Office Memory Corruption Vulnerability(CVE-2017-11882)

亚信安全OSCE VP检测规则如下:

1008746 - Microsoft Office Memory Corruption Vulnerability (CVE-2017-11882)



安全建议


及时更新病毒码版本;

打开系统自动更新,并检测更新进行安装;

不要点击来源不明的邮件以及附件;

不要点击来源不明的邮件中包含的链接;

请到正规网站或者应用商店下载程序;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

尽量关闭不必要的端口;

尽量关闭不必要的网络共享;

受影响的Office版本如下,请用户及时更新office或者打上补丁程序:

Microsoft Office 2007 Service Pack 3

Microsoft Office 2010 Service Pack 2

Microsoft Office 2013 Service Pack 1 

Microsoft Office 2016 


IOCs

4c9aeb862f7f7943f5c5209fac0ebb3a.jpg



分享到微信
X