Dridex和Locky重现江湖，通过PDF附件传播恶意代码

翻译：童话

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

前言

Dridex（银行木马）和Locky（勒索软件）是两个臭名昭著的恶意软件家族。2016年，在世界范围内投放了大量的恶意邮件传播恶意代码，在短暂的销声匿迹之后重新回归到大众的视野。

本篇文章中介绍了的PDF下载器负责传播Dridex（银行木马）和Locky（勒索软件）两类恶意软件。但为了突出本篇文章的重点内容，我们将结合实例，着重讨论PDF下载器和Dridex（银行木马）二进制文件。

影响范围

两次攻击活动中想象范围较大的一个(图1)，钓鱼文档中涉及“付款收据”主题相关的内容，根据我们的推测，此次攻击活动主要影响了美国的保险行业。

图1：全球影响范围

两次攻击活动中影响范围较小的一个(图2)，附件的主要内容多是打印机对扫描文档的警报。此次攻击活动主要针对的目标是中东，美国和日本的政府部门。

图2：全球影响范围

恶意代码的执行流程

如图3所示，恶意代码的执行流程主要包括以下几个步骤：

1.投放恶意邮件：邮件中包含恶意PDF文档

2.附件中的PDF文档：打开PDF文档后释放并执行DOCM文档

3.释放的DOCM文档：文档通过宏命令执行PowerShell脚本

4.PowerShell脚本：执行PowerShell脚本从远程的CC服务器上下载一个加密的二进制文件

5.加密的二进制文件：加密该二进制文件，释放并执行恶意payload

图3：恶意代码完整的执行流程

投放恶意邮件

攻击者向被攻击者们批量投放含有PDF恶意文档的邮件，PDF文档中包含了几个对象。最重要的几个对象，一个是嵌入的DOCM文档（启用宏命令的doc文档），一个释放并启动DOCM文档的JavaScript对象。图5展示了嵌入的DOCM文档，图6展示了释放DOCM文档的JavaScript代码片段。

图5：DOCM文档文件头

图6：释放并执行DOCM文件的JavaScript代码段

当被攻击者打开了PDF文档，Adobe Reader显示了一个如图7所示的警告，清楚的说明文档可能是有害的。

图7：Adobe的安全警告

如果用户忽略了警告，并且点击了“OK”按钮，DOCM文档将会被写入%temp%目录下，并启动。

释放的DOCM文档

文档已只读或受保护的模式打开，意味着文档中的宏命令不能被执行。取消这种机制的保护，文档会显示一个提示消息，提醒用户点击“Enable Editing（启用编辑）”，如图8所示。

图8：受保护的文档请求启用编辑权限

当被攻击者点击“Enable Editing（启用编辑）”按钮，嵌入在文档中的宏命令将开始执行。如图9所示，我们可以看到要执行的命令隐藏在form1的标题中。宏命令的功能是执行一个PowerShell指令，向远端的CC服务器发起请求，下载下一个payload。

图9：嵌入在文档中的宏命令

图10展示了隐藏在form中的命令

图10：隐藏在form中的命令

PowerShell脚本

PowerShell代码是经过混淆的，其可以使用图11所示的算法将代码还原。当代码执行后，脚本的主要功能是请求远端的服务器下载payload。该脚本中包含了一个URI数组，循环请求每一个URI，直到CC服务器返回来一个有效的响应包。

图11：还原混淆的Powershell脚本的算法

分析还原后的PowerShell脚本，其主要有两个功能：

1.与CC服务器进行通信：在这一环节中，PowerShell脚本生成一组CC服务器域名，通过HTTP发起请求，检查服务端响应的内容，如果远端的服务器没有正确响应[200]，它将请求另一组主机。

2.解密服务端返回的数据：如果服务器出于活跃状态，将会把请求的资源返回（加密的二进制恶意代码），下载会本地后，脚本通过简单的XOR算法对内容进行解密。图12展示了脚本与CC服务器详细的通信过程。

图12：与CC服务器通信

当脚本运行后，脚本请求192.232.251.217和216.87.186.133的“/dfv45”资源，并且在第二台服务器中成功返回了响应包（加密的二进制恶意代码）。响应的内容是通过XOR加密的。图13为响应头信息。

图13：CC服务器响应头信息

PowerShell脚本将返回的内容进行解密，并将解密后的可执行文件写入到%temp%目录下，解密代码如图14所示。

图14：解密代码

最后释放的payload

说到这里，Dridex（银行木马）和Locky（勒索软件）的payload投放过程都是一样的。投递的恶意软件取决于远端CC服务器返回的内容。

在本篇文章的案例中，从CC服务器取回的内容是Dridex（银行木马）的payload。当payload执行后，Dridex解压缩并在svchost.exe或spoolsv.exe的进程上下文中运行，以逃避检测。

总结

Dridex（银行木马）和Locky（勒索软件）在过去几个月中一直很活跃，尽管投放机制不断的变化，但该类恶意软件家族的核心行为已然保持不变。Dridex是过去几年最活跃的银行木马之一，而Locky则是最臭名卓著的勒索软件之一。在过去的时间里，Dridex和Locky的作者们不断地研究各种方法已逃避检测。

如何缓解该类恶意软件的危害

由于该类钓鱼活动影响范围较为广泛，企业可以通过如下几种方法防止受到此类恶意软件的攻击。

部署Web代理：通过部署一个Web代理，企业将能够制定阻止访问Dridex和Locky使用的唯一URI参数“/dvf45/”和“kjv783r/”的出站规则。值得提及的是，这种防御方式只能暂时防御此类攻击，最重要的还是要提高企业工作人员的安全意识。

更新防火墙策略：了解企业内部必要的出站流量，并结合Web代理，禁止所有不必要的主站流量。

启用增强的PowerShell日志记录功能：改进PC对PowerShell日志记录的可见性具有许多好处，其中之一是确定恶意软件使用PowerShell的执行的恶意代码，如此文中介绍的。

附录