Dropper 是將 Payload 部署到失陷主機(jī)的惡意軟件，被很多攻擊者使用。2022 年第二季度研究人員發(fā)現(xiàn)了一些活躍的 Dropper，例如 Microsoft Excel 文件以及 Windows 快捷方式文件和 ISO 文件。通過與社會(huì)工程相結(jié)合的攻擊方式，誘使受害者觸發(fā)失陷。最近，利用這些 Dropper 的惡意軟件家族有 Emotet、Qbot 和 Icedid 等。

通過釣魚郵件投遞

Dropper 可以通過釣魚郵件以三種方式傳播，例如：

• 將 Dropper 或者加密的 ZIP 文件作為附件
• 將 HTML 文件作為附件，打開時(shí)執(zhí)行 Dropper
• 正文中包含下載 Dropper 的鏈接

每種方式都會(huì)將惡意文件投遞給受害者并誘使其打開，如下所示：

加密 ZIP 文件作為附件

HTML 文件作為附件

正文嵌入下載鏈接

研究人員發(fā)現(xiàn)前兩者使用了一種被稱為“HTML 走私”的技術(shù)，該技術(shù)利用合法的 HTML5 和 JavaScript 功能對(duì)惡意數(shù)據(jù)進(jìn)行編碼。如下所示，受害者通過瀏覽器打開時(shí)會(huì)將數(shù)據(jù)塊轉(zhuǎn)換為 Dropper：

HTML 走私

首次發(fā)現(xiàn)該技術(shù)是在五月，電子郵件中的下載鏈接包含 HTML 走私的網(wǎng)頁(yè)。到了六月，HTML 走私的網(wǎng)頁(yè)作為附件直接發(fā)送給受害者。

Dropper

(1) Excel 4.0 宏的 Excel 文件

該 Excel 文件并不是新出現(xiàn)的，去年 Emotet 已經(jīng)大量使用。樣本中的某些工作表被隱藏，如下所示，包含惡意代碼的工作表名為 IJEIGOPSAGHSPHP?。其中單元格 A1 內(nèi)容為 Auto_Open9939689536899569357795948589489469636486898953895396378943986并包含一個(gè)內(nèi)置宏代碼，該宏代碼會(huì)在打開文件后自動(dòng)通過該單元格執(zhí)行公式。

樣本調(diào)用名為 URLDownloadToFileA的 API 從多個(gè)不同的 URL 下載惡意軟件，而實(shí)際的 Payload 是 DLL 文件并且通過 regsvr-32.exe 來(lái)執(zhí)行。

隱藏表中的惡意公式

(2) LNK 文件

如下所示，樣本在目標(biāo)字段中包含一個(gè) PowerShell 代碼片段。PowerShell 代碼將 base64 字符串轉(zhuǎn)換為包含多個(gè) URL 的腳本代碼。接著就通過每個(gè) URL 下載惡意軟件，并通過 Regsvr-32.exe 執(zhí)行。

目標(biāo)屬性

捕獲了包含不同惡意代碼的其他樣本，如下所示：

惡意代碼執(zhí)行

下圖顯示了另一段 PowerShell 代碼，數(shù)據(jù)被解碼為 .HTA 的 URL 并通過 mshta.exe 執(zhí)行。后續(xù)，HTA 文件中的 VBScript 代碼提取包含加密數(shù)據(jù)的 PowerShell 代碼，并將其轉(zhuǎn)換為腳本代碼再下載執(zhí)行。

惡意代碼執(zhí)行

(3) ISO 文件

攻擊者將惡意 DLL 文件與惡意 LNK 文件都存在 ISO 文件中，如下所示。DLL 文件被設(shè)置為隱藏文件，默認(rèn)情況下在文件資源管理器中不可見，而 LNK 文件通過 Rundll32.exe 來(lái)執(zhí)行惡意 DLL 文件。

惡意 DLL 文件與 LNK 文件都在 ISO 文件中

結(jié)論

文中提到的 Dropper 被多個(gè)惡意軟件家族所使用，如下所示。四月初，攻擊者只使用 Excel 文件進(jìn)行攻擊。緊接著，四月二十三日捕獲了 Emotet 首次使用 LNK 文件進(jìn)行攻擊的樣本，隨后的五月又被 Qbot 與 Icedid 快速采用。五月中旬又出現(xiàn)了 ISO 文件的 Dropper，涉及的惡意軟件家族包括 Qbot、Icedid 和 Bumblebee 等。在五月下旬開始，在野出現(xiàn)了 HTML 走私攻擊，這樣避免了通過網(wǎng)絡(luò)直接傳遞惡意軟件。

Dropper 與 Payload

下圖顯示了過去三個(gè)月內(nèi)值得注意的惡意軟件攻擊行動(dòng)。

Dropper 應(yīng)用時(shí)間表

由于宏代碼的應(yīng)用，Office 文件一直是攻擊者最喜歡的攻擊媒介，然而隨著微軟對(duì)宏代碼逐漸增強(qiáng)安全控制。2021 年 7 月，微軟在打開 Excel 文件時(shí)默認(rèn)禁用 Excel 4.0 宏代碼。2022 年 4 月，微軟又默認(rèn)阻止了通過互聯(lián)網(wǎng)下載文件中的 VBA 宏代碼執(zhí)行。攻擊者開始轉(zhuǎn)向其他類型的文件提高入侵效率，例如 LNK 文件與 ISO 文件。