通过MSXSL方式进行鱼叉式网络钓鱼

在2018年中旬发现了针对各种实体进行的鱼叉式网络钓鱼活动，其中被传播的恶意的RTF（Rich Text Format）文件中利用了三种不同的漏洞：CVE-2017-8570，CVE-2017-11882和CVE-2018-0802，并且此次攻击同时也利用了二进制文件msxsl（微软的xml语言解析器，用来解释xml语言的）来运行JScript后门程序。此次攻击与Cobalt组织之前的活动有许多相似之处。

攻击方式

鱼叉式网络钓鱼活动使用恶意RTF文档：

如果漏洞利用成功，则会打开一个诱饵文档：

通过查看文档中的OLE对象，可以看到一些有趣的属性（下个部分详细分析）。

打开文档后会进行一系列行为，主要归纳为：

1. 恶意RTF文档对三个漏洞进行利用（CVE-2017-8570，CVE-2017-11882或CVE-2018-0802）
2. 运行eqnedt32.exe（Microsoft公式编辑器）并在链中执行两个cmd.exe实例
3. cmd.exe实例使用DLL（dll.txt）启动regsrv32.exe，然后删除诱饵文档
4. 加载的DLL执行以下操作：
   创建一个XML文件
   创建一个XSL文件
   从磁盘中删除自身
   创建JScript文件（用于持久性存在）
   删除合法的MSXSL.exe副本
   运行MSXSL，从新创建的XML和XSL文件中获取最后一个后门

第一阶段

漏洞被利用后，cmd.exe运行Task.bat：

ECHO OFF
set tp=”%temp%block.txt”
IF EXIST %tp% (exit) ELSE (set tp=”%temp%block.txt” & copy NUL %tp% & start /b %temp%2nd.bat)
del “%~f0”
exit

设置环境变量后，将启动第二个批处理文件，其任务是启动regsrv32.exe以加载dll.txt，清除临时目录、重新启动显示诱饵文档的winword。

为后门运行且可持久性运行设置正确环境，dll.txt会执行以下操作：

创建c:usersuserappdataroamingmicrosoftf4b3a452b6ea052d286.txt
创建c:usersuserappdataroamingmicrosoft7009b05a8c4dc1b.txt
创建c:usersuserappdataroamingmicrosoft12a0c3af5a631493445f1d42.js
删除c:usersuserappdataroamingmicrosoftmsxsl.exe executable, a Microsoft legitimate executable

在HKCUEnvironment中创建一个注册表项值，其值为“UserInitMprLogonScript”，数据为Cmd.Exe /C “%Appdata%Microsoft12A0C3AF5A631493445F1D42.Js（用于登录持久性脚本. ATT&CK TID: T1037）

DLL活动：

DLL的文件系统和注册表活动：

在生成cmd.exe实例后立即删除dll.txt并启动msxsl.exe，将删除的XML文件和XSL文件（包含后门代码）作为参数。

用于保持持久性存在的脚本：

值得注意的是这里使用了msxsl.exe，它是用于使用Microsoft的XSL处理器执行可扩展样式表语言（XSL）转换的命令行程序。可以使用此可执行文件来运行JScript代码：

C:UsersUserAppDataRoamingMicrosoftmsxsl.exe
“C:UsersUserAppDataRoamingMicrosoftF4B3A452B6EA052D286.txt”
“C:UsersUserAppDataRoamingMicrosoft7009B05A8C4DC1B.txt”

后门

后门是用JScript编写的，它能够执行以下操作：

通过wmi和其他Windows工具进行检测

使用cmd.exe运行可执行文件

使用regsvr32.exe加载DLL文件

下载并运行新脚本

删除自身

检查AntiVirus软件

使用RC4的js实现进行c2通信

任何类型的脚本都可以由此后门运行，因此它所可以造成的恶意后果是不可估量的。样本会检查不同的防病毒软件，并且将用户信息发送回C2服务器，以便向恶意控制者传递消息以避免触发杀软警报。

我们在广告中找到的C2地址是： https://mail[.]hotmail[.]org[.]kz/owalanding/ajax[.]php

它似乎是在1994年注册在哈萨克斯坦的主机名，这个古老的服务器可能被恶意者攻击并被用做了远控C2。

攻击链的第二阶段似乎与2017年11月份确定的一项活动相同，可能均来自于Cobalt组织，但他们攻击的第一阶段完全不同，有可能是一个新的漏洞利用 工具 包Threadkit。而后门的代码与TrendMicro在2017年8月分析的代码看起来非常相似。2018年3月版和2017年8月版共有的命令如下：

more_eggs: 用于下载新脚本

d&exec: 用于运行可执行文件

gtfo: 用于终止实例并执行清理

more_onion: 用于运行新脚本

已经更新过的系统无需在意此次攻击，但未更新的系统应监视下面发布的IOC以及异常行为，例如从临时文件夹运行的msxsl或加载未知模块的regsvr32.exe。

• malicious RTF (DOC00201875891.doc): db5a46b9d8419079ea8431c9d6f6f55e4f7d36f22eee409bd62d72ea79fb8e72

• msxsl.exe (legitimate, dropped): 35ba7624f586086f32a01459fcc0ab755b01b49d571618af456aa49e593734c7

• JS persistence: 710eb7d7d94aa5e0932fab1805d5b74add158999e5d90a7b09e8bd7187bf4957

• XSL JS backdoor: 6a3f5bc5885fea8b63b80cd6ca5a7990a49818eda5de59eeebc0a9b228b5d277

• XML: dbe0081d0c56e0b0d7dbf7318a4e296776bdd76ca7955db93e1a188ab78de66c

• task.bat: 731abba49e150da730d1b94879ce42b7f89f2a16c2b3d6f1e8d4c7d31546d35d

• 2nd.bat: 33c362351554193afd6267c067b8aa78b12b7a8a8c72c4c47f2c62c5073afdce

• decoy document: 1ab201c1e95fc205f5445acfae6016679387bffa79903b07194270e9191837d8

• regsvr32 DLL: 0adc165e274540c69985ea2f8ba41908d9e69c14ba7a795c9f548f90f79b7574

• inteldriverupd1.sct: 002394c515bc0df787f99f565b6c032bef239a5e40a33ac710395bf264520df7

• C2: mail[.]hotmail[.]org[.]kz/owalanding/ajax.php

• IP (at the time of writing): 185.45.192.167