安天智甲有效防御最新宏逃避手段

时间  2017年11月02日  来源:  安天

【事件概述】

安天在近期捕获的样本中发现一例利用“自动”宏AutoClose来逃避沙箱检测的Office样本。攻击者诱使受害者点击垃圾邮件中的恶意链接,下载恶意文档。当用户打开Office文档文件并且启用宏时,并无异常,一旦用户关闭文档,AutoClose会立即调用PowerShell程序下载其他恶意样本载荷,载荷可能是银行木马、勒索软件等。攻击者可以利用此技术逃避具有宏分析能力的沙箱。随着攻击者持续对该技术的使用和改进,加之其易于实现,这种攻击手段正在成为越来越多恶意代码的常见功能。

目前,安天智甲终端防御系统(英文简称IEP,以下简称“安天智甲”)对此类威胁已经能够有效防御,保障用户的终端安全。

【样本分析】

当用户关闭文档后,即会执行以下恶意宏代码。

图1 恶意宏部分代码

首先检查文件名长度是否超过30字符,若超过,攻击者则认为是分析人员正在分析以md5,sha256形式命名的文件。所以如果长度超过30字符,则弹出消息框:

图2 消息框

否则解析文件中的base64编码。解码数据如下:

图3 base64解码数据

利用cmd创建目录dImJbtbSOG,调用PowerShell下载恶意样本YYHhvsddE.exe,由于链接失效未能下载原始载荷,关联分析YYHhvsddE.exe文件名得到勒索软件Locky样本36e3d3024719d6e96f99300cc4941730,最后创建YYHhvsddE.exe进程并执行攻击。

【防御技术】

安天智甲的主动防御机制根据Office文档宏函数和PowerShell运行原理,建立了一套三重拦截手段,可提供有效防护:

第一,格式深度分析Office文档,抽取宏函数,针对加密宏进行解密还原,并进行代码分析、规则匹配;

第二,Office文档运行后,监控文档是否恶意修改系统环境或运行恶意代码,并向用户告警;

第三,在默认的防御策略中禁止了PowerShell、WScript脚本的调用,有效防御注入式和宏脚本类恶意代码,并向用户告警。

根据本次恶意代码运行跟踪情况,安天智甲能够有效防御此恶意代码的启动,如下图:

【产品展示】

安天智甲是一款面向政府、军工、能源、金融、交通、运营商等各行业用户的企业级防护产品,产品集成了病毒检测查杀、系统加固、主动防御、介质管控、文档保护、行为画像等功能,并能有效与管理中心和安天态势感知产品互动,协助客户建立更全面的资产防护体系和风险认知能力,使态势感知能够有效落地。

1、安天智甲:更强大的功能——不仅仅是反病毒

2、安天智甲:更广阔的适配性——全面适配国产化系统

3、安天智甲:更精准的威胁感知——3D可视化拓扑、感知全局态势

4、安天智甲:更全面的场景应用——多场景支持、满足差异化需求