GuLoader恶意软件最新攻击链样本详细分析
字数 1836 2025-08-22 12:23:36

GuLoader恶意软件最新攻击链分析教学文档

一、前言概述

GuLoader是一种复杂的恶意软件加载器,近期发现了其最新的攻击链样本。本教学文档将详细分析该攻击链的各个阶段,帮助安全研究人员理解其工作原理和防御方法。

二、攻击链详细分析

1. 初始感染阶段

攻击载体:包含CVE-2017-0199漏洞的XLS文件

  • 漏洞利用:CVE-2017-0199是一个Office RTF漏洞,允许远程代码执行
  • 攻击方式:XLS文件中包含OLE流数据,其中嵌入了恶意URL
  • 行为特征:利用漏洞自动连接并下载远程HTA恶意脚本

2. 第一阶段载荷下载

HTA脚本分析

  • 下载方式:通过漏洞触发的URL跳转最终下载HTA文件
  • 脚本行为:执行后会调用PowerShell执行恶意脚本
  • 特点:使用混淆和加密技术隐藏真实意图

3. PowerShell脚本分析

关键特征

  • 包含加密数据,需要解密后才能看到真实功能
  • 主要功能:从远程服务器下载VBS恶意脚本
  • 执行流程:
    1. 解密自身包含的加密数据
    2. 建立与C2服务器的连接
    3. 下载下一阶段VBS脚本

4. VBS脚本分析

解密过程

  • 使用自定义加密算法保护核心代码
  • 解密后显示真实功能:下载伪装为JPG图片的恶意载荷

功能特点

  • 多层混淆增加分析难度
  • 使用合法Windows组件(如PowerShell)执行恶意操作

5. 图片载荷分析

JPG图片分析

  • 表面是普通图片文件,实际包含加密的恶意数据
  • 解密后得到.NET Payload程序
  • 编译时间戳:2024年12月13日(可能伪造)

6. .NET Payload分析

TaskScheduler程序

  • 基于开源项目:https://github.com/dahall/taskscheduler
  • 功能:从远程服务器下载并执行恶意代码
  • 执行方式:通过VIA函数动态加载恶意代码

7. 最终Payload分析

恶意功能

  1. 屏幕记录

    • 持续截取受害者屏幕
    • 记录用户活动

  2. 信息收集

    • 获取主机详细信息(系统版本、硬件信息等)
    • 键盘记录功能
    • 盗取Thunderbird数据库信息
    • 窃取UCBrowser浏览器登录凭证

  3. 数据外传

    • 通过FTP协议上传窃取的数据
    • FTP服务器地址:ftp://ftp.horeca-bucuresti.ro
    • 使用硬编码的FTP凭据

  4. 进程操作

    • 关闭特定安全相关进程
    • 维持持久化

三、技术特点总结

  1. 多阶段加载

    • XLS → HTA → PowerShell → VBS → JPG → .NET → 最终Payload
    • 每阶段功能单一,降低检测率

  2. 混淆与加密

    • 多层加密保护核心代码
    • 使用合法工具(PowerShell)执行恶意操作

  3. 持久化机制

    • 利用Task Scheduler实现持久化
    • 可能还有其他注册表或启动项修改

  4. 数据窃取

    • 针对特定应用(Thunderbird, UCBrowser)
    • 全面的信息收集能力

  5. C2通信

    • 使用HTTP/HTTPS下载组件
    • 使用FTP上传数据
    • 可能具备域名生成算法(DGA)

四、防御建议

  1. 补丁管理

    • 及时修复CVE-2017-0199等Office漏洞
    • 保持系统和应用最新

  2. 安全策略

    • 限制PowerShell执行权限
    • 禁用Office宏和OLE对象
    • 监控可疑的进程链(XLS→HTA→PowerShell)

  3. 网络防护

    • 拦截已知恶意域名(如horeca-bucuresti.ro)
    • 监控异常FTP外连

  4. 终端防护

    • 部署EDR解决方案检测多阶段攻击
    • 监控屏幕捕获和键盘记录行为

  5. 用户教育

    • 警惕来源不明的Office文档
    • 禁用文档中的宏和自动内容

五、IoC指标

  1. 网络指标

    • FTP服务器:ftp://ftp.horeca-bucuresti.ro
    • 其他C2域名(分析中可能发现)

  2. 文件特征

    • 包含特定加密模式的JPG文件
    • 编译时间为2024年12月的可疑.NET程序
    • 使用TaskScheduler开源代码的恶意变种

  3. 行为特征

    • 多阶段文档→脚本→二进制执行链
    • 屏幕捕获和键盘记录行为
    • 特定应用(Thunderbird, UCBrowser)数据窃取

六、总结

GuLoader攻击链展示了现代恶意软件的复杂性和规避能力。通过分析此类攻击,安全团队可以更好地理解攻击者的战术、技术和程序(TTPs),从而制定更有效的防御策略。持续监控新兴威胁和更新防御措施是应对此类攻击的关键。

GuLoader恶意软件最新攻击链分析教学文档 一、前言概述 GuLoader是一种复杂的恶意软件加载器,近期发现了其最新的攻击链样本。本教学文档将详细分析该攻击链的各个阶段,帮助安全研究人员理解其工作原理和防御方法。 二、攻击链详细分析 1. 初始感染阶段 攻击载体 :包含CVE-2017-0199漏洞的XLS文件 漏洞利用:CVE-2017-0199是一个Office RTF漏洞,允许远程代码执行 攻击方式:XLS文件中包含OLE流数据,其中嵌入了恶意URL 行为特征:利用漏洞自动连接并下载远程HTA恶意脚本 2. 第一阶段载荷下载 HTA脚本分析 : 下载方式:通过漏洞触发的URL跳转最终下载HTA文件 脚本行为:执行后会调用PowerShell执行恶意脚本 特点:使用混淆和加密技术隐藏真实意图 3. PowerShell脚本分析 关键特征 : 包含加密数据,需要解密后才能看到真实功能 主要功能:从远程服务器下载VBS恶意脚本 执行流程: 解密自身包含的加密数据 建立与C2服务器的连接 下载下一阶段VBS脚本 4. VBS脚本分析 解密过程 : 使用自定义加密算法保护核心代码 解密后显示真实功能:下载伪装为JPG图片的恶意载荷 功能特点 : 多层混淆增加分析难度 使用合法Windows组件(如PowerShell)执行恶意操作 5. 图片载荷分析 JPG图片分析 : 表面是普通图片文件,实际包含加密的恶意数据 解密后得到.NET Payload程序 编译时间戳:2024年12月13日(可能伪造) 6. .NET Payload分析 TaskScheduler程序 : 基于开源项目:https://github.com/dahall/taskscheduler 功能:从远程服务器下载并执行恶意代码 执行方式:通过VIA函数动态加载恶意代码 7. 最终Payload分析 恶意功能 : 屏幕记录 : 持续截取受害者屏幕 记录用户活动 信息收集 : 获取主机详细信息(系统版本、硬件信息等) 键盘记录功能 盗取Thunderbird数据库信息 窃取UCBrowser浏览器登录凭证 数据外传 : 通过FTP协议上传窃取的数据 FTP服务器地址:ftp://ftp.horeca-bucuresti.ro 使用硬编码的FTP凭据 进程操作 : 关闭特定安全相关进程 维持持久化 三、技术特点总结 多阶段加载 : XLS → HTA → PowerShell → VBS → JPG → .NET → 最终Payload 每阶段功能单一,降低检测率 混淆与加密 : 多层加密保护核心代码 使用合法工具(PowerShell)执行恶意操作 持久化机制 : 利用Task Scheduler实现持久化 可能还有其他注册表或启动项修改 数据窃取 : 针对特定应用(Thunderbird, UCBrowser) 全面的信息收集能力 C2通信 : 使用HTTP/HTTPS下载组件 使用FTP上传数据 可能具备域名生成算法(DGA) 四、防御建议 补丁管理 : 及时修复CVE-2017-0199等Office漏洞 保持系统和应用最新 安全策略 : 限制PowerShell执行权限 禁用Office宏和OLE对象 监控可疑的进程链(XLS→HTA→PowerShell) 网络防护 : 拦截已知恶意域名(如horeca-bucuresti.ro) 监控异常FTP外连 终端防护 : 部署EDR解决方案检测多阶段攻击 监控屏幕捕获和键盘记录行为 用户教育 : 警惕来源不明的Office文档 禁用文档中的宏和自动内容 五、IoC指标 网络指标 : FTP服务器:ftp://ftp.horeca-bucuresti.ro 其他C2域名(分析中可能发现) 文件特征 : 包含特定加密模式的JPG文件 编译时间为2024年12月的可疑.NET程序 使用TaskScheduler开源代码的恶意变种 行为特征 : 多阶段文档→脚本→二进制执行链 屏幕捕获和键盘记录行为 特定应用(Thunderbird, UCBrowser)数据窃取 六、总结 GuLoader攻击链展示了现代恶意软件的复杂性和规避能力。通过分析此类攻击,安全团队可以更好地理解攻击者的战术、技术和程序(TTPs),从而制定更有效的防御策略。持续监控新兴威胁和更新防御措施是应对此类攻击的关键。