如何利用AutoIT腳本釋放DarkComet后門(mén)

這篇文章將為大家詳細(xì)講解有關(guān)如何利用AutoIT腳本釋放DarkComet后門(mén)，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

0×1 概述

近日，騰訊御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)到一起利用郵件間接傳播CVE-2017-11882漏洞文檔以攻擊商貿(mào)行業(yè)從業(yè)者的安全事件，與之前發(fā)布的“商貿(mào)信”事件不同的是，此次攻擊者使用的手法有所變化：借用AutoIT程序以繞過(guò)安全軟件的查殺，傳播的后門(mén)程序?yàn)镈arkComet遠(yuǎn)控木馬程序，并且相關(guān)樣本下載服務(wù)器是搭建在亞馬遜云服務(wù)上，這樣導(dǎo)致邊界設(shè)備將無(wú)法直接對(duì)該服務(wù)器域名/IP進(jìn)行攔截，進(jìn)一步繞過(guò)安全檢查。

此次事件中，攻擊者首先將釣魚(yú)郵件定向發(fā)送給貿(mào)易相關(guān)行業(yè)的受害者，一旦受害者打開(kāi)郵件中的附件，將會(huì)向遠(yuǎn)程服務(wù)器加載一個(gè)惡意的OLE對(duì)象(CVE-2017-11882漏洞文檔)，然后漏洞文檔會(huì)下載一個(gè)自解壓程序，自解壓程序運(yùn)行后先將相關(guān)文件解壓到臨時(shí)目錄，然后通過(guò)autoit3程序執(zhí)行混淆過(guò)的au3腳本文件，通過(guò)au3腳本文件解密出一個(gè)DarkComet后門(mén)程序，然后以傀儡進(jìn)程的方式加載該后門(mén)程序，達(dá)到控制受害者機(jī)器的目的。大體攻擊流程如下圖所示：

0×2 樣本分析

MD5: 3ABAEED8930DD4C511340A882A05E79A

捕獲EML樣本，打開(kāi)后內(nèi)容如下：

將郵件附件保存，得到Document Copy.docx （MD5: 7A861F4F39AAA85C7547F7521544ED58）文件，該文件是一個(gè)內(nèi)嵌惡意OLE對(duì)象的文檔，文檔打開(kāi)后，會(huì)通過(guò)OLE對(duì)象加載機(jī)制從遠(yuǎn)程服務(wù)器加載另一個(gè)漏洞文檔：

https [:]//s3.amazonaws[.]com/rewqqq/SM.doc

將目標(biāo)文檔下載分析后，可以知道SM.doc文檔是一個(gè)利用CVE-2017-11882漏洞的惡意文檔。文檔打開(kāi)后會(huì)通過(guò)漏洞執(zhí)行遠(yuǎn)程hta腳本：

https[:]//s3.amazonaws[.]com/rewqqq/awss.hta

awss.hta腳本負(fù)責(zé)從遠(yuǎn)程服務(wù)器https[:]//s3.amazonaws[.]com/rewqqq/wizzy.exe

下載一個(gè)后門(mén)木馬程序保存到c:/windows/temp/shell.exe，然后執(zhí)行該后門(mén)程序。

通過(guò)工具查看該文件信息，可以知道該文件是一個(gè)WinRAR打包的自解壓程序。

用WinRAR打開(kāi)該文件可以發(fā)現(xiàn)，該文件執(zhí)行后會(huì)執(zhí)行如下命令：

taa.exe xtb=ldp

這里為了分析，我們可以使用解壓工具進(jìn)行解壓，解壓后得到如下文件：

其中taa.exe是一個(gè)帶正常簽名的AutoIT腳本解釋器程序，用于執(zhí)行au3腳本

xtb=ldp文件是一個(gè)au3腳本文件，可以看到腳本內(nèi)添加了大量無(wú)用的注釋，這里作者通過(guò)這種方式防止殺軟檢測(cè)出此惡意腳本

VT上x(chóng)tb=ldp腳本的檢測(cè)結(jié)果：

作者為了和殺軟進(jìn)行對(duì)抗，對(duì)該腳本添加大量無(wú)效注釋，這個(gè)嚴(yán)重影響我們閱讀該腳本，為了方便分析該腳本的功能，我們對(duì)該腳本進(jìn)行簡(jiǎn)單的處理，處理后腳本關(guān)鍵代碼片段如下：

通過(guò)調(diào)試該腳本，可以知道該腳本運(yùn)行后會(huì)先檢測(cè)當(dāng)前主機(jī)是否存在avastui.exe進(jìn)程，如果存在則先睡眠20秒，然后繼續(xù)執(zhí)行。腳本會(huì)讀取當(dāng)前目錄下的fgx.mp3文件，從中讀取sData、esData字段的內(nèi)容，然后將數(shù)據(jù)進(jìn)行解密，并將解密后的數(shù)據(jù)保存到當(dāng)前目錄下，文件名為隨機(jī)生成的五位字符串，然后利用autoit3程序執(zhí)行解密后的文件。我們將解密后的文件打開(kāi)后，發(fā)現(xiàn)該文件是一個(gè)新的au3腳本文件。

fgx.mp3文件中sData、esData字段部分內(nèi)容如下：

解密出來(lái)的新au3腳本（此次文件名為BAKBS）部分內(nèi)容如下：

為了方便閱讀該腳本，我們對(duì)該腳本進(jìn)行一點(diǎn)修改和注釋。通過(guò)閱讀該腳本代碼，我們可以知道，該腳本主要實(shí)現(xiàn)如下功能：

1. 虛擬機(jī)檢測(cè)

2. 沙箱檢測(cè)

3. 禁用UAC

4. 禁用任務(wù)管理器

5. 開(kāi)機(jī)自啟

6. 下載執(zhí)行更新

7. 執(zhí)行本地腳本

8. 解密并釋放后門(mén)木馬程序

下面是修改后的腳本部分功能代碼。

核心功能代碼片段：

虛擬機(jī)檢測(cè)代碼：

沙箱檢測(cè)代碼：

禁用UAC代碼：

禁用任務(wù)管理器代碼：

開(kāi)機(jī)自啟代碼：

下載并執(zhí)行代碼：

解密并執(zhí)行后門(mén)木馬程序：

執(zhí)行配置文件中指定的程序：

執(zhí)行后門(mén)程序和目標(biāo)程序時(shí)，先拷貝一個(gè)白簽名程序(此處是RegSvcs.exe或Firefox.exe)，然后通過(guò)傀儡進(jìn)程方式將目標(biāo)進(jìn)程注入到白進(jìn)程中，以達(dá)到隱藏的目的：

下面我們來(lái)看下上面提到的解密出來(lái)的后門(mén)木馬程序。

該程序經(jīng)過(guò)UPX加殼：

脫殼后，文件信息如下：

該程序是國(guó)外的一款遠(yuǎn)程控制軟件，早期作者將其免費(fèi)發(fā)布在網(wǎng)絡(luò)上。由于該軟件支持的功能非常多，發(fā)布后深受攻擊者們喜愛(ài)，被廣泛用于網(wǎng)絡(luò)攻擊，基于這種情況，作者在2012年出于法律問(wèn)題將該項(xiàng)目停止。盡管作者不再更新，但是目前仍有大量攻擊者使用該工具進(jìn)行網(wǎng)絡(luò)攻擊。

下面是DarkComet遠(yuǎn)控的的配置界面，可以看到，該軟件支持的功能非常之多，并且支持靈活配置，其中主要包含資料竊取、鍵盤(pán)記錄、視頻/聲音監(jiān)控、桌面監(jiān)控、系統(tǒng)控制等等。

通過(guò)OD調(diào)試該遠(yuǎn)控木馬程序，可以看到，樣本運(yùn)行后會(huì)讀取資源區(qū)中的”DCDATA”資源，然后進(jìn)行解密，解密后得到配置信息如下：

#BEGIN DARKCOMET DATA --MUTEX={DCMIN_MUTEX-B6DQQC7}SID={KAYANA}NETDATA={obyterry.hopto.org:1990}GENCODE={HMgiLefV9w0m}OFFLINEK={1}#EOF DARKCOMET DATA --

通過(guò)解密出的信息可以知道，攻擊者使用的控制服務(wù)器地址為：obyterry.hopto.org:1990

下面是該后門(mén)程序執(zhí)行相關(guān)功能的代碼片段：

攻擊者通過(guò)該后門(mén)程序能夠輕而易舉地監(jiān)控到受害者主機(jī)的一切行為，包括鍵盤(pán)輸入、桌面操作、主機(jī)文件等等，如果受害者電腦有攝像頭等設(shè)備，攻擊者還能通過(guò)攝像頭及麥克風(fēng)來(lái)監(jiān)控受害者的一舉一動(dòng)。根據(jù)騰訊威脅情報(bào)中心的數(shù)據(jù)來(lái)看，受害者大多為貿(mào)易相關(guān)的從業(yè)者，一旦這些人員被攻擊，很容易造成公司核心資料外泄，對(duì)公司產(chǎn)生巨大威脅，因此我們?cè)诖颂嵝褟V大用戶，對(duì)于陌生郵件一定要謹(jǐn)慎對(duì)待。

關(guān)于如何利用AutoIT腳本釋放DarkComet后門(mén)就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。