远程模板

研究人员分析settings.xml.rels中嵌入的远程模板发现其中含有完全特征的VBA 远程访问木马，可以执行以下功能：

?收集受害者信息；

?识别受害者机器上运行的反病毒软件；

?执行shell-code；

?删除文件；

?上传和下载文件；

?读取硬盘和文件系统信息。

第二个模板嵌入在Document.xml.rels文件中，会加载在文件中。研究人员分析加载的代码发现其中包含一个IE CVE-2021-26411漏洞利用，该漏洞利用曾被Lazarus APT组织用于攻击安全研究人员。漏洞利用中执行的shellcode也部署了远程模板注入加载的VBA RAT。

加载了远程模板后，恶意文件会加载一个恶意的诱饵文件。

图 1: 诱饵文件

文档分析

恶意文件（“Манифест.docx”）中含有settings.xml.rels 和document.xml.rels中的2个模板。位于settings.xml.rels的远程模板会下载一个宏武器化的模板，并加载到当前的文件中。远程模板中包含有具备完全RAT功能的宏代码：

第二个模板嵌入在document.xml.rels中，也会加载在主文档的对象中。该模板中含有CVE-2021-26411的漏洞利用代码。

图 2: Document.xml.rels

远程模板使用的漏洞利用代码与ENKI安全公司之前报告的类似。

图 3: 漏洞利用代码

该漏洞利用执行的shell-code会部署settings.xml.rels中嵌入的远程模板加载的VBA RAT。攻击者还会尝试使用两种方法来部署VBA RAT。

Shellcode非常简单，可以执行以下操作。Shellcode是用AutoHotKey脚本语言编写的，所有的行为都是用SendInput API调用来执行的。

将VBA RAT添加到TrustedRecords注册表中作为可信文档。通过将该RAT加入到注册表中，就可以在下次打开时启用宏文件。

可以使用以下命令来获取VBA RAT：

通过创建定时任务来每分钟执行以实现VBA RAT主流：

删除RunMru注册表值来清除追踪记录：

VBA Rat（远程模板）分析

远程模板中有Document_Open和Document_Close，会在文件打开和关闭时被激活。

Document_Open:

Document_open 函数会检查激活的文件是否有docx扩展，如果是docx扩展就会显示隐藏的诱饵文件。如果激活的文件名为_.dotm，表示该机器已经感染了该RAT，就调用ConnectCP 函数。ConnectCP 函数通过调用下面的函数来收集受害者的信息，在收集数据后，会使用JsonConvertor函数将这些数据转化为json格式。收集的数据之后会使用SCI函数来发送到服务器，并从服务器接收命令。

?getUUID: 执行"SELECT * FROM Win32_ComputerSystemProduct"来获取UUID

?getOS: 执行"SELECT * FROM Win32_OperatingSystem"来获取操作系统类型

?arch: 返回操作系统架构

?getCPU: 执行"SELECT * FROM Win32_Processor"来获取CPU信息

?getGPU: 执行"SELECT * FROM Win32_VideoController"来获取GPU信息

?getRAM: 执行"SELECT * FROM Win32_PhysicalMemory"来获取物理内容容量

?getStorage: 执行"Select * from Win32_LogicalDisk Where DriveType = 3"来获取可用硬盘空间

?getName: 获取计算机名、用户名和域名

?getRole: 识别受害者是否管理员

图 4: GetRole

?getAV: 执行"Select * from AntiVirusProduct"来获取激活的反病毒产品，然后调用DisplayName来获取反病毒产品名，然后用产品状态码来识别反病毒产品的状态和信息

图 5: GetAV

Document_Close

Document_Close函数会调用函数InstallFromMacro来进行RAT的安装。在调用安装函数前，会调用相同的沙箱函数来确保没有在沙箱环境中运行，然后会检查附件中是否包含http来确保其中有嵌入的远程模板URL。

InstallFromMacro会执行RAT的初始化，其中包含3个动作：

?以文件形式打开附件远程模板，提取BuiltInDocumentProperties的comments部分内容，并用|来进行分割。如果操作系统是32位的，就将comments的第一部分放入skd变量，如果操作系统是64位的，就将comments的第二部分放入skd。Skd变量之后会用作AddTask 函数的参数。

?将customDocumentProperties从cve设置为“MACRO”；

?通过将自己加入到启动目录来实现驻留：APPDATA\Microsoft\Word\StartUp\_.dotm；

?调用AddTask函数；

?通过删除RunMRU注册表来清除其追踪记录。

图 7: RAT安装

AddTask（使用EnumWindows来执行shell code）

该函数会base64解码skd变量中的内容，并用VirtualProtect和EnumWindows执行。事实上，skd的内容是一个shellcode，会在不写入硬盘的情况下在内存中执行。EnumWindows的第二个参数是一个应用定义的值，会传递给callback函数。将VirtualProtect的shellcode地址作为函数的第二个参数就可以执行shellcode。

图 8: AddTask

执行的shellcode非常少，可以通过设置定时任务每分钟执行来实现驻留：

与IE漏洞利用中的shellcode类似，该shellcode也是用AutoHotKey脚本语言写的，并使用SendmessageA 和SendInput来模拟按键和执行其他动作。

图 9: Shell-code API和函数调用解析

ExecuteTasks

这是VBA的主要函数，会从服务器接收json格式的命令，然后分析json文件和执行命令。每次函数会执行3个任务。

图 10: 执行任务

为了从服务器接收任务，该函数会接收一个名为SCI的函数的参数。SCI函数会以json格式和HTTP POST请求的形式发送ConnectCP函数收集的数据，或从服务器接收响应，其中包含json格式的要执行的任务。

图 11: 发送信息到服务器和接收命令

下面是RAT可以执行的命令。在执行任务后，任务执行的结果也会发送给服务器。

ReadDisks

该命令使用Scripting.FileSystemObject.Drives对象来获取硬盘信息。然后创建一个JSON对象，其中包含如下信息：

图 12: Read Disks

ReadFileSystem

该函数会使用Scripting.FileSystemObject.GetFolder 对象来获取与指定路径文件夹对应的文件夹对象，然后提取名字、大小、最后修改日期，并将这些信息放入一个json对象中。

Download File

该函数会使用Adobe.Recordset来读取指定文件，并使用HTTP POST请求发送数据到服务器。

图 13: 下载文件

Upload File

该模块会从服务器接收一个文件，并将其写入指定文件中。

图 14: Upload File

DeleteFile

该函数会使用kill函数来删除指定文件或目录。

Terminate

该函数会中止RAT的执行并退出应用。

Execute

该函数会执行从服务器接收到的shellcode。

图 15:执行Shell-code

我有整理了【网络安全】相关的资料

有需要的朋友可以call我哦！！1