近期,來自Yoroi的研究人員在一篇報告中對利用EXCEL的XLL插件進行文檔釣魚案例進行了技術分析。Yoroi指出自2021年中開始,該項技術為許多攻擊者使用,并大膽預測XLL技術可能為Office文檔釣魚技術破局,成為改變2022年威脅格局的新熱點技術。本篇研判将對XLL插件嵌入.NET惡意代碼的新攻擊技術進行分析研判,探讨.NET新背景下XLL的利用面。
<col>
組織名稱
未知
戰術标簽
文檔釣魚,執行,防禦規避
技術标簽
文檔釣魚,XLL,.NET,CLR Hosting
情報來源
https://yoroi.company/research/office-documents-may-the-xll-technique-change-the-threat-landscape-in-2022/
https://attack.mitre.org/techniques/T1137/006/
https://labs.f-secure.com/archive/add-in-opportunities-for-office-persistence/
XLL/WLL檔案及其持久化技術
微軟允許第三方開發者使用C/C++為Office應用開發擴充,并以XLL/WLL的檔案格式為Excel/Word擴充功能,其本質是具有特殊字尾與導出函數的DLL檔案。因為作為Office應用擴充的特殊性,XLL檔案的圖示較有迷惑性,輕按兩下會直接喚起EXCEL并嘗試加載。
雖然Yoroi在近期對XLL檔案的分析将其又推上風口浪尖,但利用XLL進行攻擊的手法早已有之。在Mitre ATT&CK條目“T1137.006 Office應用啟動項”即有利用WLL/XLL進行持久化的描述,在2020年5月的攻擊中Naikon攻擊團夥利用Word的擴充檔案WLL檔案進行後滲透階段的持久化操作。
利用WLL與XLL的持久化方式的本質相同,利用Ofiice程式加載擴充DLL檔案,執行其中的惡意代碼,但具體操作有所差別。
将包含惡意代碼的DLL重命名為“WLL”字尾放置于Word的Startup可信目錄中即可在Word啟動時被自動加載。
XLL的持久化利用則要麻煩一些,在系統資料庫内建立相應的鍵值,并在Excel的擴充搜尋目錄(%appdata%\Microsoft\AddIns)中放置XLL類型的檔案。Excel在執行過程中将搜尋并調用名為xlAutoOpen的DLL導出函數。
開源項目為XLL引入.NET攻擊面
攻擊者利用開源項目EXCEL-DNA将惡意.NET載荷嵌入在XLL樣本,包含惡意代碼的.NET 程式集被壓縮存儲于XLL的資源段,這增加了針對惡意代碼靜态檢測的難度。
EXCEL-DNA通過自身的XLL檔案(原生DLL)為橋梁,為開發者提供了以.NET開發Excel擴充的中間層。在執行過程中該XLL檔案會完成初始化.NET環境與解壓資源段的.NET程式集這兩件事,為後續執行創造條件。
EXCEL-DNA使用CLR Hosting技術進行.NET運作環境的初始化,實作在Native程式中執行.NET程式的目的。通過初始化操作的不同,攻擊者可選擇不同的.NET版本進行初始化,EXCEL-DNA的不同支援.net2.0到最新的.net4.5的覆寫,這種相容性也為攻擊者利用此技術在XLL中利用現有的.NET武器化工具創造了條件。
而在.NET程式集中的惡意代碼被執行後,攻擊者動态加載下一階段的.NET程式集并調用其中的功能函數,這是攻擊者對.NET靈活加載特性的運用。
.NET的引入擴充了XLL檔案的攻擊面,使得利用.NET中的防禦規避技術成為可能,增加了執行流程的複雜性與隐蔽性,增加了安全産品的檢測難度。但是XLL檔案的利用依然受到一些安全措施的限制,在實際中通過簽名等機制可有效對此類可疑檔案進行甄别。本次攻擊者所使用的開源項目并非針對防禦規避設計,固定的特征與簡單的載荷存儲手段降低了分析難度,利用該開源項目進行攻擊的威脅似乎還不足為懼。
XLL的利用與CLR Hosting的技術并非首次出現,兩者的結合卻給了攻擊者以契機,為已有技術注入生命力。在.NET的攻擊技術研究與武器開發蓬勃發展的今天,此種攻擊技術無疑具有更大的利用潛力。Yoroi的研究人員對于XLL技術将改變2022年威脅格局的評價或許略顯誇張,但這種舊瓶裝新酒的創新攻擊模式卻值得藍軍研究人員與安全廠商的注意與警惕。