社工方法加載OLE對象，更改浏覽器代理設定竊取資訊

随着 windows 安全性的明顯提高和緩解措施的利用，攻擊者為了避免昂貴的漏洞利用成本，更傾向于采用低成本的社會工程方法進行攻擊。最近，我們發現了使用社工方法加載惡意ole 對象，通過更改使用者浏覽器代理設定來竊取敏感資訊的攻擊。

1 攻擊樣本

攻擊通過郵件附件方式傳播：

圖：郵件樣例

在郵件附件.docx檔案中，是一個輕按兩下可運作腳本的ole嵌入對象，它通過一個類似發票或收據的圖示來掩飾自身。

圖：附件配有德語标題”要檢視收據，請輕按兩下運作“

輕按兩下圖檔之後，運作了一個貌似正常的jscript檔案，但是，如果腳本被正常執行，它将産生惡意行為：

圖：js腳本通常名為paypal_bestellung.js或post.ch_65481315.js

2 jscript 腳本内容和功能

解密腳本

該腳本為加密代碼：

圖：js腳本加密樣本

腳本釋放并執行惡意元件，同時更改浏覽器代理設定相關的系統資料庫項。經過解密後的代碼主體為：

圖：解密後的代碼主體

内置檔案

在該 jscript 代碼中又内置多個powershell腳本和一個認證證書，證書經過認證之後，用來監聽https流量資訊：

圖：用左邊函數解密後發現的其它惡意元件

受害者電腦的臨時檔案夾中将會釋放和執行以下元件：

圖：釋放的惡意元件樣本

惡意程式的自帶認證證書cert.der ：

圖：證書通用資訊

圖：證書詳細資訊

圖：證書認證資訊

内置惡意元件功能

cert.der ：攻擊者在證書通過認證之後，可以監聽使用者https的流量資訊：

圖：證書被加載之後的截圖

ps.ps1：（powershell腳本）負責檢查确認證書被正常安裝：

圖： ps.ps1 代碼截圖

psf.ps1： 負責在火狐浏覽器中安裝證書，因為mozilla一般不使用系統提供的第三方證書，隻支援自身證書庫證書。

圖： psf.ps1代碼截圖

pstp.ps1：負責安裝tor用戶端插件、任務計劃程式task scheduler和代理軟體proxifier。這是惡意程式篡改浏覽器代理設定的一種方法。

圖： pstp.ps1代碼截圖

更改系統資料庫

為了達到更改浏覽器代理設定的目的，該jscript腳本還對浏覽器相關的系統資料庫項進行篡改：

子鍵：hkcusoftwaremicrosoftwindowscurrentversioninternet settings

篡改項：autoconfigurl

圖： 更改系統資料庫鍵值

當使用者使用浏覽器進行網站通路後，将會傳回以下代碼。代碼執行的功能可能是更改使用者浏覽器代理設定，重定向到某個惡意釣魚或廣告站點。

圖： 代碼中包含function findproxyforurl(url,host){return”direct”}

3 總結與建議

當系統受到這種攻擊感染之後，包括https在内的web流量資訊将會被惡意代理端劫持。攻擊者可以實作遠端重定向、更改和監控使用者的浏覽器使用資訊，當然，一些儲存在浏覽器中的敏感資料和密碼憑據等資訊也會悄悄變成攻擊者的囊中之物。

建議:

不打開來曆不明的郵件；

不浏覽不受信網站；

參照我們前期的分析部落格，如果有以下系統資料庫值，可進行更改：

hkcusoftwaremicrosoftofficesecuritypackagerprompt.

office version：

16.0 (office 2016) 15.0 (office 2013) 14.0 (office 2010) 12.0 (office 2007)

office application： word excel...

更改鍵值：

0 點選對象，執行但不提示。

1 點選對象，執行并提示

2 點選對象，不提示不執行。

本文轉自d1net（轉載）