IcedID针对金融机构的最新活动

一、事件概述

前段时间,绿盟科技伏影实验室捕获到一批相似度十分接近的样本。我们对这批样本进行了持续跟踪,并进行了全面的分析,发现其为icedid最新活动,本次活动中攻击者新构了一种恶意软件加载器Gziploader。该类样本在2021年3月中旬开始大量活跃,样本数量众多,主要通过垃圾邮件或钓鱼邮件的方式进行传播。

捕获到的样本使用了宏4.0技术。攻击者在开发过程中使用了多种隐藏恶意代码的手法,如将宏代码的字体设置得同底色一致,设置代码位置位于xlsx文件的中后段;利用xlsx文件充当下载器,下载下来的恶意文件会解密出一个另一个Dll组件并在内存中加载执行,实现无文件攻击;API的调用则通过对比hash值动态加载,因此传统依靠特征码扫描的检测方式难以检测;内存加载执行的Dll组件会从自身内嵌的数据中解密出C2地址,下载后续组件并执行。

  • icedID最新活动

icedID的运营者叫做Lunar Spider,我们发现,icedID从3月中旬开始又大规模的在欧洲的一些国家活跃。与往期的活动相比,本次活动中icedID使用了Excel 4.0宏技术的诱饵文档,同时将第一阶段加载机制中的loader更新为Gziploader。通过对本次活动中提取到的C2(本次活动中不同版本的Gziploader组件连接的C2)的注册时间的对比,我们发现C2的注册时间都为2021-02-23,且注册商一致,均为Porkbun, LLC(美国域名注册商,价格适中,所有域名送免费Whois隐私保护)。攻击者有计划地同时注册了一批域名作为C2基础设施,且这批域名都具有Whois隐私保护(反溯源),经过了一段时间的精心准备,于3月中旬开始发起攻击。

分析本次捕获到的这批样本,我们发现,xlsx钓鱼文档的命名采用的是西里尔字母,这种文字的应用范围集中在欧洲中西部国家。在一些诱饵文件名中,我们看到了类似Comission(佣金),DEBT(债务),CompensationClaim(赔偿要求)等与金融机构相关的单词,同时下载链接中包含的IP地址多位于欧洲。

我们梳理了icedID的历史活动信息:

1.icedID于2017年首次出现,并在日后被Lunar Spider运营。

2.随后,银行出现了多因素身份验证解决方案,这迫使icedID寻求新的获利方式。

3.改变运营策略的icedID将其恶意软件转变为“下载器”。

4.Emotet于今年年初被执法部门接管,其服务器基础设施被关闭,这种突变迫使许多依靠Emotet僵尸网络的网络犯罪组织寻求新的替代方案。

5.随后,IcedID的活动激增,试图填补Emotet留下的空白。

6.IcedID投递方法不断更新,攻击链越来越复杂。

7.IcedID被用于部署REvil(Sodinokibi)勒索软件。

  • icedID前置载荷信息梳理

与以往活动不同的是,本次捕获到的攻击事件中,攻击者使用了宏4.0技术,短时间内投递了大量的钓鱼文档,我们对宏代码进行对比:

攻击者使用的宏代码基本相同:

1.通过将宏代码的字体设置得同底色一致,使得恶意代码不可见隐藏宏代码;

2.下载后续恶意文件并执行。

但不同版本的宏代码间的不同主要体现在以下两点:

一是对下载回来的攻击载荷的重命名,虽然大部分以Kiod.hod,Kiod.hod1….的方式命名,但一小部分以SOT.GOT1,SOT.GOT2……的方式命名。

二是切换了下载攻击载荷的组合。它们通常以如下几种方式组合:

  组合一http://188.127.235.232
http://193.38.54.165
http://185.82.218.54
  组合四http://178.128.243.14
http://44.227.65.245
http://44.227.76.166
  组合二http://45.140.146.180
http://185.82.219.219
http://188.127.231.55
  组合五http://45.140.146.34
http://185.82.219.160
http://188.127.254.114  
  组合三http://185.82.217.213
http://193.38.54.244

http://188.127.235.244
      

本次活动中的icedID更新了第一阶段加载机制中的loader,新的loader称为“Gziploader”,它不同于往期活动中的photoloader,用于解密IcedID有效载荷的算法更为简单。

我们对本次恶意活动中下载下来的Gziploader组件行了对比分析,不同版本的Gziploader均为DLL文件,需主动调用执行。其功能为从自身文件的数据段中提取并解密另一个组件,在内存中加载执行。版本间的差异主要体现在代码结构和C2的变动,下面列举了部分版本间的差异:

二、样本分析

  • 诱导阶段

Name:21383196965_03162021.xls:

MD5:6572B44453262E545B24A4D8B7679FFB

样本最初是从一个zip文件解压而来,在运行后会诱导受害者点击启用宏,进而执行恶意宏代码。

宏代码属于Excel 4.0宏,样本通过将宏代码的颜色设置的与底色一致,进而用来隐藏宏代码,宏代码部分主要的主要功能是下载恶意文件并执行。

我们使用oledump.py 结合插件 plugin_biff可以查看完整的被隐藏过的宏代码:

宏代码调用URLDownloadToFile下载如下文件:

http://185.82.217.213/44274.7215421296.dat

http://193.38.54.244/44274.7215421296.dat

http://188.127.235.244/44274.7215421296.dat

其中,文件名的后半部分是调用NOW()函数拼接而成:

接着重命名后调用rundll32执行恶意功能:

Rundll32 ..\Kiod.hod,DllRegisterServer

Rundll32 ..\Kiod.hod1,DllRegisterServer

Rundll32 ..\Kiod.hod2,DllRegisterServer

  • 加载程序Gziploader

通过进一步分析,我们发现该类宏样本会请求下载Gziploader组件。该Loader是银行木马IcedID的下载器,会获取当前时间作为请求的文件名,后缀为dat。本次分析以44273.7332076389.dat为主。44273.7332076389.dat是一个64位的DLL文件,该DLL解密一段内嵌数据得到另一个PE文件,然后在内存加载执行。样本在API调用方面通过对比函数的hash值来获取,妨碍分析,使得恶意行为更加隐蔽。内存中加载执行的文件负责从C&C下载后续组件并执行。

基本信息:

Name:44273.7332076389.dat

MD5:E22891B4B80CDEA56B138AE73C49922B

  DLL文件有三个导出函数,其中,主要恶意代码集中在DllRegisterServer部分。

通过对比函数hash动态查找获取所需的函数。

对内嵌数据进行解密,得到一个64位的PE文件,接着在内存加载执行。

  • icedID前置载荷

解密出来的PE文件是一个64位的DLL文件,是icedid的前置载荷。

MD5:5625f0805b59c8bc63433bb708432a95

创建线程执行恶意功能:

通过简单的计算解密出C2:

即:

630mordorebiter.website

该Loader组件首先连接aws.amazon.com,这是个白域名,是亚马逊云官网。Loader通过HTTPS连接该域名并获得证书并对其公钥部分进行自定义校验,并保存结果用于后续连接C&C。这种行为在恶意家族中并不常见,可用于检查网络环境,Loader所处环境配置了HTTPS代理,则校验无法通过,C&C收到的值也就不同。

之后向630mordorebiter.website发起HTTP请求,包含具有Giploader的特征Cookie字段。

__gads包含与C&C相关的标志、对aws.amazon.com的证书的公钥做自定义校验的结果(为1代表校验成功,0代表失败,2代表没有获取到证书)、系统时间相关值和系统进程数。

_gat包含系统版本号和位数。

_ga包含CPU类型和时间间隔。

_u为主机名和用户名的16进制编码。

__io包含本机的SID权限,0代表未获取到。

_gid为MAC地址。

        其中,C&C可以从__gads中提供的校验标志获得如下信息:

校验结果可能情况
0证书公钥校验失败,Loader可能位于配置有HTTPS代理的环境中。
1证书公钥校验成功。
2未连接aws.amazon.com或连接失败,或处于调试状态(绕过连接)。

  若成功,则会收到C&C回传的木马。回传payload前两个字节与Gzip头部魔数相同,但是这只是一种伪装而已,其格式为:

1F 8B|字符串|加密内容|校验与密钥相关数据

  解析时跳过payload头部,获取到保存在靠近payload尾部的16字节的解密密钥,该密钥前4个字节与密钥之前的4个字节进行异或,即可得到解密后数据的校验值。之后进行解密,解密后会进行校验,需符合之前的校验值。

解密后结构:

偏移长度含义
+00h1标志
+01h4输入文件内容长度
+05h4PE内容长度
+09h不定输入文件子目录名称
+29h不定输入文件名
+49h不定PE文件名
+69h不定启动命令行的格式化字符串,可能是rundll32.exe \”%s\”,update /i:”%s”
+A9h+01h处指定输入文件内容开始处
+A9h+输入文件长度+05h处指定PE内容开始处

最后执行命令行形如:Rundll32.exe “xxx.tmp”,update /i:”xxx\xxx.dat”。

  • icedID

C2回传的Gzip文件包含了两个组件,suit_32.tmp和license.dat。

1.持久化

Gzip中获取到的suit_32.tmp文件是一个64位的DLL,用于实现持久化的功能,它会生成一个副本文件Oxiwko.dll,并通过创建计划任务的方式运行IcedID,实现持久化。

计划任务中命令格式:

Rundll32.exe “xxx\Oxiwko.dll”,update /i:”xxx\license.dat”。

2.IcedID  

Gzip文件中的license.dat即为IcedID。IcedID 是一种银行木马,该木马能够窃取受害者的信息,例如窃取Cookie,窃取凭证,然后,会将被窃取的信息发送到远程服务器。license.dat文件经过加密处理,解密后:

解密工具:https://github.com/BinaryDefense/IcedDecrypt

获取到的C2:

twotoiletsr.space

dedupomoshi.space

iporumuski.fun

agitopinaholop.uno

三、总结

icedID从2017首次出现以来,不断更新,其攻击手法也越来越成熟,前几个月又再次大规模的活动,种种迹象表明icedID可能会取代Emotet,对它的监测显得尤为重要。同时,我们注意到诱饵投放阶段使用的Excel 4.0宏技术已发布多年,但相比于VBA宏,大众对它的熟识度并不是很高,传统杀软对Excel 4.0宏的检测存在着一定的局限性,如何加强这一方面的检测也同样值得我们关注。

四、 IOCs

http://185.82.217.213

http://193.38.54.244

http://188.127.235.244

http://188.127.235.232

http://193.38.54.165

http://185.82.218.54

http://45.140.146.180

http://185.82.219.219

http://188.127.231.55

630mordorebiter.website

http://188criolaserz.space/

apoxiolazio55.space
320glazhuk.fun

twotoiletsr.space

dedupomoshi.space

iporumuski.fun

agitopnaholop.uno

Comission

DEBT

CompensationClaim

44274.7215421296.dat

44274.7215421296.dat

44274.7215421296.dat

44271,7409611111.dat

44271,7409611111.dat

44271,7409611111.dat

43976.6825984954.dat

43976.6825984954.dat

44276.196658912.dat

关联样本信息

21DF15B1E95DABD04A703E9E6473FAF5

6572B44453262E545B24A4D8B7679FFB

E22891B4B80CDEA56B138AE73C49922B

386EE9C74DF6B655DB3A273C32373260

5013847cb7cbeb093fcf53ce8a809037

9c1c205552bccb8f7eea43a5b42aa912

127b0ed6dc759ae6e8437b96fee873cb

4f667f4267b2a1e90029ec3e66de84f0131e573087d4a0f50e4c9b5b9e0a8173

051ddcf7f9fcb3a34852d7da63d9ece3b399f93bd83efb81b82e7794bef10345

a6363bcc2ba28a36642b334aa0bc049ebc1f7187962f0169131884a19d825311

25fb23868ebf48348f9e438e00cb9b9d9b3a054f32482a781c762cc4f9cc6393

4f88e0bbb1906400d2c144d9ae3fe71b585f8dbba5faa64b2ebecb2fb92ac16a

 22998630df69c1f13ba46acc51343e0e4a4a6afd2aa0f7614f1d1540cdb53f00

 a3f63351cb476e54a03dc98562c0597f2f4761b751bd365ffd75b0c2deb13f39

 bd1f4e78f88db4137020b03d54ff52731c2629e2cb752d6f13b95467812ede73

 118549570cc7b9fc9b9540c72a8547c4f2939e565aea241afca7c8ff636f35fc

 2fc56230f4f38cefc3a33850c564798653b39e2175dcb96c0a4727123ce1c237

 00b32e6662097d7a26468659e2fbd16da9b71dacb2c6874f23bc17cba99e1ec6

 668e8da3f6332db51ab6a3c8335a23fa7b46f65e90156c1f9410816a2b42f1f1

 004b4a85c2cb2290ea756fcada7748b9ffbc29e6aa213e69a15b40136aa119e1

 4b9120e3f6482dd8375ab47b23fd95812dcb88c593476f3c91ff7b60e8d1f630

 a5028406df939f43b5cb7dcb3733fbc8350714464bee123189ae881418bed25d

 6abd82fccfbf22c22f33e5574f37c63f6a71dadef07f04c67d1e5dcb9e9fd594

 dea9177306f8405d20084d5a877d057f8129e2be75c5683204806495fadf2b59

 0b5e868de60dcda1212dddffbb8e8024f15b5b6f52e1bed5b67299110365f5ce

 a6a132c8adcb825bbde6cd00e2f21ff9eaa03ef5b2a03002a6f929dd5396e5eb

 1f21822c3a4a28e3643d3a96952c08e9d9508118b297fd57a6eb0481e33e84ac

 761624cc6843aea498db8c0208e21ca295a3e0b54246c880670721cd0438b79b

 cbf69ffcf1d750a43a711349d748b68566a8e7154a63f47b98dba3558ded6249

 9637dd8fb62603ea05eb1e9c85f6fbb9d655fdbe9b7f0b1c8eaf456248c5e1c5

 d08e4ecb07638e7ec060c2e75866890deb1fa3d9b16c379022dd6dc48e38d7b2

 1cb425f6c7210145ad29c7206623ab709cae4669534ff3dadd31cc57c4d8ee3c

 271ddf99e47c21e1f3e4d1ce8b3e539d43b7da614fe3ef40af664d1072ce4848

 4dddb2b0947b0b2490a05bfc170a96de49cb84dbff0f594e05ee966c43a29fde

 72089fe8238deeddcd454e3dd2f47e61b50a28cccc57ac2292f99ad8301c3337

 419fa33b9350fdc25030874d9e045d30cb7c413b95197a38c4f7cc2a524448c4

 50f3dd31236e4d0acccf65b2c378444e4062b15455aaea90579a6a82b415e454

 79f8ea1489d403add63bd3420c543c3794ec7523bb329322b37c40c26d44ee0e

 f1977063b60fdd4575abd396fc2c5b366ad97f4bfda751270083842d68340dc4

 00792979e38a3bc711c0990aa072ba45ed7fdd73c4a3fba22f98398d9a24bf46

 04d7f946367c18423d643a6287602d7ebb8400ec23e5804e96be09904d2eaaae

 cf9a095f49ad25c9213a2896d25f9ba11b3154e106213e6a2df533db1e376358

 f57db5e4965f43eb2ba64c5c0a2f6685bd12d8daff4abf5f617d210f10c24978

 3c104ffacacd164280245733b0eaea75328630c0d8d61941f3cb1e01f46e0ffa

 fd3c5c49deaedf15b3b28d8154c94839564de09bb50df5b93ae5741a01de655b

 7974d3c190ad3a16837b057db514a48d94684c49207709fd7bf1f62b7d6ff6f4

 9caac8405f3af3aa5a9dd6c5ede8e3dba5264f823fc3f80b2ab620e2740e4ac8

 81621a54fc3fc28eec36ecc0daf8adeafa4179b98306660322e90c199b62ac36

 ab3e2bbb3ddc3a48893e21ed6c80109b2da4f24b1fa2a11fa8ffd9ba37ae15cb

 2c2502f06b75ba0c7e9266918976ff4f8c47aaf3113535e0394187c1da571a26

 7bdc47e21cca8c121b4db96b062bce868fb3b700dfea4b989508d6f8d2cd0b23

 7354a1177728ce1f46417c5ae3873703128f342a17352fc4a9b7a85c476b988e

 5c66140abd3147e7687f0fbfa61f42b4f9927c31174845a9107d7b83bfa2190c

 2f5be3726e8c4b5ff36bfeeb68f5862befd37529150948c6ec216afbe4243fd4

 28b43f7ac2d7fe08f01dddebbbdee0df980bf073d52081f30fad78b16ba9a47a

 bff8ec58e84bad251e7f9d48547000f64dc5d862d3115147d9088eaafb67be9c

 a504613175f2854f7f60a4c6a9e6f2cd5d65d2472572de2edde72476bb949cc4

 85c1151f63b4c4e7c4cba4d57a44149625548e97cc90ed8109c57b2db3ff8c2f

 01ff65869af245bec588b3f3060ce98132f75d0392c0a73f763ec05aeceb5fc9

 490471c42c23fa80bbde13080b452f00b808256bc3ed2b5e806bc96c43ad1965

 ef5d4edb8c5f920311daed1a56fe44903d3126a73a5cc8a166fa7ec3569b5e5a

 151c6a9cdadbbf2f59fcbc029562c791919b986d9df89b16c2743c53ab754ccb

 d08c171d4de4e7b9cd735f86ce14d44d804e15a36e1767af4df93fb2bb2a3207

 9a7b7cdc16b17b8c8b7703fed26fb6b31fd773de85ffffbd0bac4e7ca29f7249

 a01e36d947edb1870eca0eb1f3c6308362d60f38972627517288866a2e1f1593

 bc1b108905dc8b03426d218be9ab79f169dcfadf712846f4e0275dfc7f83ae29

 ff5daf4d2e0dab1db852f2146664a1fcc393df6a9bb8cd38c45909e96f46f413

 f75497aeb39cd5ac8916de792849f8371e93da0c46ce23b06d3bff3502adcb92

 931de8fe7cd2846740a0fd0daf4ee0bc8cb8b68cb54784ee111f1a76f8240625

 8cb79b642fdcc9bef3a53a08cd4ad24f7ad88da4557615ad4f1423f35e7edc2a

 9ce606b1df7c5c1c346be2c07072d70b0dc4e6e4307c5dae256e22ac9829fa0b

 635ef4b73ad100cd8165715ac1f026798ab79f3ecdaba30b804594aa3ee192de

 864f8a7ef20bd4d00979100dfbc492262bd496e18cb16d9197b92c6b6634e0f6

 82b30b0e14c116cb013ff6444122733701827a33fa488cddd31f9c86e5377c0c

 c8626c54ac7fb9c25ee3c4698d52009e7d5c884e01c14494b5e619691bd1f8d4

 d2193a76dfcaf51e10ffb1e70da02f10a41087c24ca12fdcf12bcf17d1c768cc

 18af3d2761d6313f87433fbacc98ebbb7b34749ef177f9ef1978ce233fa89a65

 69b0230e15877a4f9f2538032515863360252d4aca9a10a8069863da3ab5d5ba

 fe90222d82233ea2b7e8924b25f078e0c1ae2769f8f5e0d155868a92bef3fd25

 6ca31285553f1eae9b9b19019d8c0b40c2531265af2aea842dc02d0bc82a7202

 8c978ec0e6966be3e9f3a1656c88386040bb43ad5f5f23c6c4b1a7c118416a98

 ec76f47ebf03ca57f4b3394d6a4739ab9524bdaaf9b0188c6e651f286d7edcc3

 892695be7c9c94b11e34af2725cf27c12b2591ad025fce75c71b91313cf29d2e

 d6da57a771f908075e6d533d8a72912bfc639159735390b359c3802100748ee6

 3df5255e9c4c4dbf826e7812353b97b390d66aa4f2b8c9151e70401869604a66

 c8f5b2dcac4879f62665a195d8ee24537d931f123f05cc42e6ad219e82264a77

 62c6e69c8b2bb073c9c4936e010fc42e13f4e7a3368d2e08ca6b03be5c9ab3da

 979f0744c5cf7e9cf73edee6503f5faa4a5a6eb01f04e03a41b679a3275ab1bd

 5d05020ac6d929982a974cb16903396de4ef88ea27234d25ec840a528d5b761a

 58cc3c7decbc58a26badb380071ccdeef4a9e1c00e171fd53f490f05b39f9868

 50a29dd55b6d0da671e990db73024ab8f273a7927b6dac0e1ecacb3ffdfd0ec3

 85b0064896b857f8941fdfa05d90ef10cfdd412e197e6d6b0de02ca0322bfc96

 1508503a034e80f8704b5f272f3fe43963b13b1fc94413f12fc2f4069a6fca32

 f18bcae62f217ee80ccf59d8a7f3b7d27608d1390be82835cb773942f1608a20

 6838bbecaf77b3e49bbc0ac10316468e3350fd96d14abbf41f321ebe5f8ee4e1

 494bd92259685e2b7ae0eb5bbb91f251a941d39a2f5c4fba3b60d93565f88eb9

 b460e2b28ac91624331d10227b6b4455dc7cb19f4cabb519c94bc323e7ab9f9e

 c365573605a7b1f717651e84dd2753cd48cf809c2920f6f77062c5fdf8b942cc

 fd60daadf9dcf6938382e8b08c90704834587aada3c47f68603489ea94085c5e

 4360f4ceda6130c706c1b976f096316ba9b2b53f6e4645fa379c88cadce0bc0f

 e42d11dc8c7d903aa22cc7c0ff5858504441efd505a33cf897ae5664617aba6f

 d4d5a7c186e41678e0a5cf4bdea709f4d5cfd4f677eb74dac9b69ca9506f3060

 01f6a162c6ebce7a741a6922683fee0c9bce0cba861ea33976866eabb7c4ff90

 de78499da38e7ab6b295a3eeae9e3238cb9f436fe1074b3a15cd208e8fa811c8

 6d9b547a0ec18aa555856ebf5ac45c328305511e0f540bd63776fd64429f57e9

 434053f12c0c27bda6971c354c8a90591dce7f0975afde6fd80a4103f083889c

 e982e498f9cf23e480476bc2ec8a1073d5ac33d28aab267e66305cef94bbf75e

 e5d1c3c4729a223b689a6abd590bfdfb6ca6b7db9748f217331bdd91b86a9ed0

 dc7039060898714a78ed0c78cff324932ca46758cb0d47ecffbc3bccf1bd054f

 b108988782c45230dac7d0f12cc498a7f1d381a8e4e1e977e1ca0eb46591335e

 57e7167cc335681c1512eaebac34fcf456077b15627eda14af4a5312b38c64f8

 ddab40f3a75c834adf4afd2668f4652feef80b589b54a7ea1b81c302c7d74402

 6aaceea9cd28e4debaf52aefe105a9c94be5f4165d4b724daadae5ec7a65f2a8

 761b9e889f1e4c58695bfa7875fdcf1ecb07e00fb53b11e6abc49716ed912497

 e345757a1739bb1d925c299d6e54d215fc255cfdb384e7e2142deec204728b3c

 b20aad78aa05e4799baf66ae5fa7b3fd1510338786a212926bdb2b507bf4cbef

 192d92693febd620a2207d722d067e0ad023ca06c180b52694f744d2c5257672

 68dcf2d04bab1011861ffd632ceb24dbb1eca866c63244ad4479553e51521dda

 5c63a321653d850402d3818478c5be7ef5fcbcc91ce404193fbed3b0d0373921

 c3f66bd7b14fc7d43a3bc793519a365cb15585f29d19bb963dffff9bbf413755

 40ee64af57a18886550f8e88dd637be929acfb667cf9ad485a874aebefb7f215

 696be0b6f9e60aeab39b078a2185b634e1a807193b4995260054d94ce9d227d8

 14e9fd672ff9a1cff4cd355a875b20c92063c17e50bc77b21c4e090cb0529a7f

 4de8f202c8ad040dea631bae5492783edb2fa825b9309f68ec4751bd6c518fd5

 752dd7f16f95cfd38d1780544b9aec9cbb526ee44ff0fa6e28487d5dbb9c9a4f

 c05211973d980fb1b8946d2a60742a5f8050e69554db4ce3e51ec09207ee683d

 27f96572e50d3c63e2e508671d33a02c6f25870623468186dde10b9d9be52499

 393d73dfa8a207fc97579df549e433d6904757eb323afcfef473add2c2aea45c

 292dfbee37b74f6cef7b2f3e06bc71a5bfc72889b4b77e5bfe376750f00ba5ac

 bbf98c80e5b6e9685df3a7efc43bc562f65a4b5807e37a2098c254a20a155a03

 b81c31b5e0c57600b7172a61f8def57a77bd99235b97bb4fe498871eccd41985

 7dddf06f86321070a6a0ec15fbcca4b1941fc2f8f3e2717d2cc96b8f5577102b

 e11657a6e4a713e534d1f255de70cb5094620d03c5a98f2714548cf286d9edb1

 a827882354f1dac61459ffc98f25d8051661f36e38aa286d600d073e436e6f04

 d0f29835e90fe6fcba1ef5a7ba196604b47c241ea8e3013007b33ac851160a7c

 9a10511d58b896445a0cd3f0511899c61d73bd44e1d880c9085c574e8132ca52

 38dd1964c585dae7d1e658df920b28b7d5d49eefb70350bc8494021d16f73ec8

 09a43a981e1ab82a75fb27e93ee7e59e9938beccdbb8d5d3ca84ca678ba5376c

 e4b6665f3d13dbcaa85c7f6c21cfbb9a2bc1eb503a4c9075989594a82581206a

 41c45e4eb12924065ae37b8aa98a26bdbbac2e0978d00e42acd7cd93918ca6ba

 55f415cd38dbb7e00d7a12c64bf113e49c2c46b75f4562cb9e52d088c39b1056

 4347afe11affe5f34dce10d39b2dc3829dd71b83e62658102d446bdddbe9a39c

 a36ed71486a9a67e28763787f8601b59097a42f47dfa2da4e607d89009dcec13

 0016e6b10468af76afce1926b12c1417bb4a5826765ac6c8fd29eaaf811cf64d

 29ab09abac193656b35a8d75265f9127d95cce7210cf20f87b4d82f15d8c9599

 d6cae06b4e4c15dafe76bc7b47b2203d09fea3e6a963e002d641432f74c797f9

 d96e7a58c0014f36bb2211ac3821b98b46fc213bc0400d750502b3d52b279c32

 d216b7cb243b61384ef8d96b7cf3a8c9f7a88869517e4157ecdc131e76d0bfe5

 3fbeb5f440cbd5524358740ee87464f7482d3444cd940378d42c619952a1a4f5

 648bf8d97d9a58c2b50bd66e61fdcf441b6341a418874895c96625d4ab1433b0

 76d372fd08bab1ee06a3322877950b5d4acb107974e82148e936fc049db4556d

 c1e02ab009ad7feab8b026f4fe342d1e3db4d316e2598988bc88f31a43d11984

 9967b24489958379719755314a74822ef8c8815bae9350c1506f32c5ab59fe19

 22639cda5c0c9184520b3db7cff4c58a9f74b878938a31290f68b28cc9942420

 83e300241d5f4b3a4ff00b6941c4a6218686b2a486658b9ce5953d6d001bed76

 e1bb51d336fb3fbdb0e7c01cbf027373ca560b36225e61bf93849af52ec82e1e

 47b8244ca270815654f34664da1a6445a0f7b5756e619c5c8394df855d17516c

 2b94ae1d2d23faa0033fef8912b9a0507614e8cfc7dad19f54fa5b9484c366e5

 71d0220c94f25ff4aba1731af1151b97717121510ec37815f767754e21fa1972

 25225d7632f4206d378250be2063ef5e67204a9caeaa1e2334c75e9971bb1bbc

 5155985e1b0a1252327c90cfeaf64b4a159cc77bfdfbdf6c8dff2805be741489

 9dfdcac0fa81b752c9bacbce34c03b2b9c0769066a69cd83dd3820536ef3eb3c

 c92e4a64335697d94168cc92b8540563b8577e0de5e22af11e024c0705837b63

 768c85faf8892fe749f16d74c43b02893beebf6b11046f9d1ccd9bd2ff5066b3

 7e3d788bf67c50a81b07e749382e06b0e8ae8d8e8ac3d711285b5e25b9cc79af

 99dfb85fc003c84a435729aadad3c81cf34362deba00b8cf4c313092fc3dbe82

 4a37db3654d0591e477393b8e8eaf1558162072728e1b0125fe5d457359775a2

 b20374e65101d056526137147a9a29656542bc8e8c4d30f531276d74cc9ab40c

 7b9eb2eb6e6feee6f6ea0499ec4c71280c2faee0ed23ef0336964ff24aefbec3

 dfd09d8a727c3e3e978ed4c688dcb2bef6377b3da723c85b81acc71fbd36d6ec

 2f4a275570d9685ac4501e43cfe53fd87eb830ccfd35cb153478e5bccefa711e

 463b85c7c43c8b1249cbd917a1917bed7381c58fd29bb11b87d7a8239d8618a3

 86f26f06ec5915c2b173091f8e65eabf447845fee49cba47ab9c7237003c2c49

 f00981c28146372c95e73a8424cafcfcb6205f69dde33373fadeb7257afad8c6

 005c448874734dff6f67c4b757c823be9edf207c117f6205ea7e679d929f3dda

 eca1d215512b4e6228eca9f8f59b0b2f711aeedc299513cb29ec45ba67f19e63

 063ffb2463a631ac24cbb6137f5a5bd97346871a51a335bb53f2ca84a3a285eb

 265a5c25e579eeb112ee59563cd9a6d1aaf6febb62ac708ede07306786db2b4d

 7873e7d9d1230b9adbe5600ace659a97c364402634560ecedd780028020282c7

 db3a083e4cfa4d6c6be44b3457e4543d152f53b6d55f58863c4ba79aa42d0371

 49b45183510bada2d79a374a5e7207c0205fdf7d1e8055069144b1faf9183f8f

 c0234cc5d093247a7ca65da2cdce8a122495ce4498a19b51f5623c74575e32d8

 6940a08c3a2893a10598f95a4812aa26144d47834fd1f23fdd17f613f5160f9b

 0832891bd6e5bdc08fb9531f3dc96443674bd844f349db41580f3392e0855b1e

 7e1c8cab1935a03cf23b7a124d3986885e02c0653566a123f1f50dcda41a9a32

 cb5e1dc90bc7c93729ed37a0aa83ee065f248ff7c4126f5091de2f78baeeaeb9

 3961189356b89bc62cd1b5862dbd4d3de9e23afab13079ef8b287dbfeb951979

 47bf9809bdb4077b4ffb25d29f9f92b176c0258d1e62ad1d1b815ee77ddb6e4b

 aba93e0ee8d5ba442d4038e2b24d19732c6a2674d469ccdb26b2a13843922b13

 9d8609186f808b38cf473dc2ff8703ca4bb27582e9f3530b5b26e5e04f2edf90

 f56fbf5872b46729997ba0ef66a822b4d9c0c9979cba656f4502670dc95424ae

 ed56290c1875836e3b1a83f6bccde74ca618688f45253207669f335be5296547

 b579ab643fa6d6cf9aaa48f6c245ac20d1daa42c07d25aa4520d4440dab9db73

 9af66aef1b53755a21ab78c8705d5e41ac5bf3ffedcb4b5c6eabd5060c517e89

 7ff28efdfce3d641a25de20333e28a273b6bc11b7521ee2c66aa42d8219ec743

 e28e16cd23fd75ba6f2918f66300f8a94e0174889a06e69bfdc39547e56bfd8f

 632daadfec56724ff0d55fd475d64ccce63962123b4e30fcd975edab6dfeadbb

 d74ff4f4bff93193750f69d3fba2aa35f108ac7dd4b5f88944e61753227b9361

 01e7b0787517e95fd1bfe54e83a4d921244a8a5b0ff01db220030af8d625c1cd

 01f5ab5e2852934c545411a18f2114e0c9457f7fc9d26b801f15aa22fc918cad

 8774863414213abfb9bb7c63635a686467a051105faa8b676c2b7f0a36010a13

 bbd6cc6b7f2285627848a52537e5180b66db3be5517d7d4d9ca87a8e27eea4de

 ce5b3dd796c4f7d144eaf6a21c11274d0452f8de5f8964bfe6773d754980c954

 d7da572d50e44f2a5e4be9fad722160301598d097a68f5bd57fe531c162e493d

 e8e8aa1ced60b1fc42186027c47634b9b30a8b5bad345a925a918de716e27962

 c050e6a315c85581df586438c8f4c03bbc71fd203d0f788a928592b0447e2443

 a2f987597a0a094034ad29924213bab2a92c56d14bdb74ca470c2cbc3acf83e5

 193cb30f3af81e30689b7ab082b2a6626fe2dbbfcb7425204360548b902da26e

 413500f6c739e7b46f1638e723db3e9d084e461f463a24fa05bf70e3592de3f8

 9a8783f302531462519baf392f97eb368d751364d45715c6ced63ae22f1836b4

 293d6dfdc5c6c755e11543a5bd0acea514899ed31f2267c3048e7efbfb8af790

 9abb944c0f195c2b7dffd06abe876b1069234ceb6c9d97e525c73f5f4d50b920

 54ac6daa1f99ce388a6a3b97f0abcbc425f780049ab6833d3106a0304e0cd0e1

 cb8181fd2ff199d45a10a9657869414594277b7f933b4869dec79bf4a36a3df3

 a9d2a26a987c7e549e0208ee5993eeb4cbad7a641e888127ca770bd4f74bd844

 b23bb86dafbb48f116dc0be69fa610d4cf447cb7ce095f5d8bc585273b062884

 ee0a8195eb9b458073af01dc1f8c1c35468acc25ab411f5a0c5e2198a034fb48

 7ce80bb1ed782fca6332d07bcf24570ac7f35669ef371662d8f2f3e491de4e18

 d7135ebd04c2993006395c52102ebcc6e33e1db4abe845604026f77f9b934819

 52814426187dfb3ab3c41ee666e145535a263aa5d181c30f9679f5ddb624e614

 17a949a82332edd38f33c9764af1787ddf665fa34187e8092036f82018fad511

 c9b14556bcbb3cca644fc2a2e4caada9df36368264c9f4e04ba5746a99a294c4

 57156c09cc255082f33b94fb1f00e8948050fd84fe0539fba7819a5ddf71e7b9

 b6fd21835ddca71befc60a04f3d086be0b072aaf8ffa3495e8b4e9cb033b1931

 5c6700efd82f24f29193d683ce566d9aaa4eacb9fd899c2f36adc77e69841104

 f75ec906736aad359ee8c2c98fe87475c067be0b0d5fc956e8c95bd8da239835

 8bd704b3f2d3ba4cbf918d731e1a906269eddce91ebb4e22a868507d8d5ae463

 807204079fccd97f9fd5509900912fee5b62b32ff693220b12044010c1a2a647

 377057c97d0722614e95d2a12a1858ed73372640bfba988a0904705d84ffe971

 5a88685d4c9ac648df696de761e624a829093eb809230fe43b688cbdf2485815

 874d18ae6713dd6a22ff5b75ad2583c50ba70dce31a491cd190c0f3f78c3f241

 3ecbbeedaec35e1bcd73c4fa5c902cfe4d88ed2c37e36e43721716d221fc3701

 4cc4bc562cc1c3937ceafd90c215836c14e5cb37b3c63bdb3d2e639c72ac5366

 c23e1af87c6822229fac4dab264e32aa4f0a48389bbd5372b7973a21c1433b6b

 57aded1a5527ea5371c96fb9278cdd8f90ab00adcd42c5634c0bf2ab74ec004e

 a2823368e5c48c7c07104ba0e206d05431483cde4e4a5dc31ea4f9f23bc5139a

 88b74f3c99afb21bf0d41db0009149ddcb0cf99f57e9c53ada61768895dedc44

 27a241a84f519e491c2beacbb0ff20067b6178a2bd21e05d57c748c02245c810

 92fb3ce0dc479b4a569ef0da9093f514dfa1bfebc22c9089327c7d44e7a8073c

 5575fffcbee953aaaf1ac4b58304aa041c451c87b09969bcd8df031dc5b4729c

 656d52cc10e3605fb23445cf97ae99e169e47585d09abc5a0ec8b7790441d97b

 9baa5d12c58ba503651dd97f77b77a266313e62bcc40f31712c4d9d535fc62aa

 4f271e4efbdd11b5707af8c85f004731ab9d20530cc06395c54d254446175a6f

 23ba85b61d71d87feb88016778e31419de35b60995e844b74268941f4791b27c

 7c1ffed3a541ad755b762e1bcf4114818b6c2a286c1d772d9533dbb8a0940fdc

 ffebf9fb7d64379482197bb4c5766fff1fe898d3288e87a32d0a6e558efb91fd

 3a566f7fcd9f4abf433198f77db99c6c50f399a9a327102a0ca0249218572fab

 8a956fb6936a81e6aeebc314c87bf603ea0547019448c815ee35ba1f97e21890

 a9b0ffe93c446a2e966ac3b19ec8da1e999c4885267ae9219dd6461419e93138

 9ffb7594d58b4f72e3c2c360d6a07fa10a56f91169536bd112bc59665a00a8ed

 41eea22ffe8cdb907fcc655fd0311a5785844f32fd6d4eccdcde8cb649735be0

 a62339a58303d35f68ff9c9274c1ac5d099666e63e405470d2bfa859895b8035

 b9afae85dff9845c0da0375e230d2a9b998d565bfb7f3a0483db4d755bfbbc9c

 1ce559489149a6c20ef30a7cc4ae25440d153da64aaa7363dd6c7f3b7371e283

 ac5b1a864d18f9a2faafe0739fdff78aec7f5a9d1fb703a1e720d9385ebc9898

 037fef51685748b17214c497f069baa080cc2a448728e87fd41cd4504a44937f

附录A (样本检测)

宏代码检测:
rule xls4: xls4macro
{
    meta:
        description = “xls4.0macro”
        thread_level = 3
        in_the_wild = true
    strings:
        $a ={4B 69 6F 64 2E 68 6F 64}
        $b ={64 61 74}
        $c ={45 78 63 65 6c 20 34 2E 30}
    condition:
        all of them        
}

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

伏影实验室专注于安全威胁监测与对抗技术研究。
研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。

Leave Comment