LCG工具包:恶意Microsoft Office文档构建器

LCG工具包:恶意Microsoft Office文档构建器

概观

Proofpoint研究人员在2018年3月发现了LCG Kit——一种武器化文档构建服务。自从研究人员开始跟踪LCG工具包以来,研究人员使用各种形式的Microsoft公式编辑器漏洞CVE-2017-11882进行了观察。最近,它的开发者集成了一个VB Script漏洞,CVE-2018-8174,该漏洞用于电子邮件活动。最后,在11月底,LCG Kit具备了使用Microsoft Word宏的功能。

LCG工具包有点不同寻常,因为其代码使用多态shellcode和线性同余生成器(LCG)(一种生成伪随机数序列的算法)进行高度混淆,以加密最后阶段的代码,包括有效负载位置。由于这一独特功能,研究人员将该工具包命名为LCG。

由于在许多电子邮件活动中都发现了LCG工具包的身影,研究人员认为它可能已在地下论坛上出售。LCG工具包很受小型犯罪组织的欢迎,用于传播远程访问特洛伊木马(RAT)和信息窃取软件,包括Loki Bot、FormBook、Agent Tesla、Remcos、AZORult、Revcode RAT、Quasar RAT等等,这些活动通常涉及数千条恶意电子邮件。

历史

Proofpoint在2018年3月中旬第一次发现了使用这个工具包建造的文件,它分发Loki Bot。

该工具包有几个可能的目标文件:

RTF 文件

使用包含公式编辑器代码的OLE对象的Microsoft Word / Excel 2007+文档(通常是只读或受保护的)

使用JavaScript加载的包含漏洞的嵌入式RTF文档的PDF文档

包含漏洞的嵌入式远程RTF对象的Microsoft Word / Excel 2007+文档

研究人员第一次发现该工具包时,最受欢迎的目标是RTF文档。从那时起,Excel文档也渐渐多了起来。

在2018年9月底,Proofpoint还观察到了使用CVE-2018-8174和相同shellcode的活动。在2018年11月下旬,Proofpoint观察到了由宏而不是漏洞加载的相同shellcode。

目前,研究人员正在观察使用LCG工具包创建的RTF和Microsoft Excel文档。

Shellcode分析

线性同余生成器是一种算法,可以使用递归关系生成数字X 0,X 1,X 2,…的伪随机序列:

LCG工具包:恶意Microsoft Office文档构建器

然后,LCG工具包使用伪随机32位值流来使用XOR运算来解密代码的有效负载。在反混淆之后,LCG例程如下所示:

LCG工具包:恶意Microsoft Office文档构建器

去混淆后LCG 工具包shellcode中的LCG例程

LCG工具包shellcode使用多种功能组合,使分析和逆向工程变得更加困难:

不同文档样本的Shellcode将LCG参数存储在不同的寄存器中

垃圾代码(NOP,PUSH / POP对等),有时嵌套(例如,PUSH x / PUSH y / POP y / POP x)

相对跳跃(包括那些“进入”指令部分,以混淆反汇编程序)

某些指令的替代形式

更有效的反分析功能之一是使用垃圾代码,这会使分析人员感到困惑,或者通过逆向工程工具导致错误的反汇编。

在下图中,加密有效载荷起初存储在ESI寄存器中,当前的XOR seed存储在EDX中,加密的有效载荷最后存储在EAX中。此代码段包含五个额外的垃圾NOP、PUSH和POP程序集指令,这些指令没有任何意义,只是填充程序。

LCG工具包:恶意Microsoft Office文档构建器

下一个汇编代码片段显示了LCG工具包如何将跳转指令用于其他指令以混淆反汇编程序。这个特殊的反汇编程序在“JMP 0x1108”指令后显示错误的指令:

LCG工具包:恶意Microsoft Office文档构建器

下图是跳转后的正确指令:

LCG工具包:恶意Microsoft Office文档构建器

下图是LCG工具包shellcode解密例程中的活动代码部分的总结。

LCG工具包:恶意Microsoft Office文档构建器

解密后,生成的shellcode是与位置无关的代码,它使用Windows API下载并执行有效负载。使用不同的API组就会有不同的变体,例如URLDownloadToFile API,如下所示。

LCG工具包:恶意Microsoft Office文档构建器

另一个变体使用WinHTTP API下载有效负载:

LCG工具包:恶意Microsoft Office文档构建器

CVE-2018-8174集成

在2018年9月下旬,研究人员发现了利用不同漏洞的LCG工具包电子邮件活动。附加的Microsoft Excel文档下载了包含VBScript以及利用CVE-2018-8174的HTML文件。VBScript中的shellcode是LCG工具包shellcode,下载了Agent Tesla。

HTML文件名为“test4.html”,这表明这是一个测试文件。

LCG工具包:恶意Microsoft Office文档构建器

包含Excel文档的电子邮件消息

LCG工具包:恶意Microsoft Office文档构建器

消息中包含的PDF文档

之后也有几乎相同的活动,其中LCG Kit再一次利用了公式编辑器漏洞。

Microsoft Word宏中发现LCG工具包

在11月底,研究人员发现了一个使用Microsoft Word附件的电子邮件活动,附件中包含将LCG 工具包shellcode加载到内存中的宏,还安装了Loki Bot窃取程序。

这表明该工具包可能会从利用漏洞变为诱使用户进入启用宏,这也许是因为可利用漏洞数量的减少。

LCG工具包:恶意Microsoft Office文档构建器

包含启用宏的电子邮件消息附件

LCG工具包:恶意Microsoft Office文档构建器

使用宏加载LCG工具包shellcode的Microsoft Word文档

结论

利用LCG工具包和ThreadKit等文档构建器,威胁行为者可以轻松创建在电子邮件活动中使用的恶意文档。由于LCG工具包支持漏洞利用和宏,因此攻击者可以通过多种方式确保其恶意软件负载的交付。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/tech/133599.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code