DOC00039217.doc运行恶意VBA脚本来下载可安装其他恶意软件的第二阶段木马程序。  

文件名：DOC00039217.doc

壳：PECompact2

MD5：31529e5221e16a522e8aece4998036d7

样本：下载地址（https://www.reverse.it/sample/f934141126cdc13d1078e8c463b7241594d354c5513aa025d32853a658d237e7?environmentId=100）

类型：TrickBot木马下载者和僵尸网络

我们首先分析DOC的文件头，看到了包含XML引用的PK，这表示该文件为Microsoft Word DOCX或DOCM文件。 为了检查文档中包含的各个文件，我们只需将DOC扩展名更改为ZIP，并使用归档管理器打开该文件（即解压压缩文件）。

在解压出来的文件中，我们找到一个包含VBA宏代码的vbaProject.bin文件。在文本编辑器中打开它，我们可看到在打开原始文档后运行的脚本。 该脚本将从http://appenzeller.fr/aaaa下载一个文件。

aaaa文件是一个VBScript，它调用Wscript.Shell并运行Powershell来下载另一个文件。 下载此文件的变量是由第一个脚本“amphibiousvehicle.eu/0chb7”传递的一个参数构成。

值得注意的是文件被下载到％TEMP％文件夹并被命名为petya.exe。这个文件并不是最近的Petya勒索软件，而是个木马。

下载的木马带有PECompact2壳。 为了脱壳，我们首先将其加载到调试器中，并找到“入口点”。

然后我们找到EAX中的第一个地址，即0x002440e4。

接下来，我们从0x002440e4向下滚动到大量的0x00000000字节前的最后一条指令。该指令应该是一个JMP跳转，再进一步到入口点（OEP）。此时可以使用传统的输入表重建工具来还原文件。 脱不脱壳并不影响文件运行，但脱壳后静态分析会更容易。

petya.exe在执行之后将自身复制到Roaming\winapp目录，并重命名自身为odsxa.exe。它还生成了一个包含受害者身份字符串的client_id和group_tag文件，并且创建了一个Modules文件夹，用来存放之后下载的其他恶意软件、模块和插件。

一旦将所有东西复制到新文件夹，petya.exe将退出，之后由odsxa.exe接管。odsxa启动挂起状态的SVCHOST.EXE，并继续将数据注入到内存，这被称为Process Hollowing。通过此方法，注入的代码在Windows操作系统中拥有更大的自由度，因为它运行于SVCHOST.EXE的安全上下文之下。

注入完成后，SVCHOST.EXE将首先通过向合法网站ipinfo.io/ip发出GET请求来获取用户的公有IP地址。

然后，该木马将开始使用HTTPS向16个不同的IP发送信标。在group_tag文件中找到了Mac1，在client_id文件中找到了WIN-FD...。

恶意软件持续尝试与服务器通信，直到可以从某个服务器上下载数据。下载的新文件将被放置在winapp目录下的Modules文件夹中。  

大约30分钟后，又有多个其他模块被下载到该目录。

在我们的会话中下载的所有数据似乎都以某种方式被加密或混淆。目前尚不清楚用了哪些例程，但是如果再做一些逆向，应该就能在脱壳的木马中找到它们。

大多数主流杀毒扫描程序都可以检测到该初始文档是一个脚本下载者，加壳后的文件也被杀软识别出是一款木马下载者，但是，Symantec有一个将其标识为Trojan.Trickybot的签名，其技术细节似乎符合本文的分析。

即使使用合适的BLUECOAT设备检查HTTPS流量，GET字符串中的变长参数也会增加识别信标流量的难度。 这里最好的对抗策略是阻止其连接上面提到的C＆C服务器的IP。

还有一个方法是不启用未经验证的发件人的Word文档中的任何宏。 

该启用宏的文档可以下载并执行带PECompact2壳的木马。该恶意软件似乎有多个模块可以在受害者的机器上下载并执行，从而扩展其功能。

后续分析和发现

经过进一步的调查，我们发现该文件是TrickBot攻击活动的一部分，TrickBot也被称为银行木马Dyreza的继任者。该文件是一个多阶段木马，能够在受害者的机器上下载多个模块，以进行凭据窃取、银行欺诈、电子邮件劫持等等。

本文由看雪翻译小组 SpearMint 编译，来源@ringzerolabs

转载请注明来自看雪社区