详细分析使用Certutil解码的Office恶意软件
字数 1185 2025-08-18 11:37:07

Certutil解码的Office恶意软件分析与防御指南

一、恶意软件概述

该恶意软件利用Microsoft Office的宏功能和Windows内置的certutil工具实现恶意代码的释放与执行,主要特点包括:

  1. 通过OLE机制嵌入BASE64编码的恶意软件
  2. 使用certutil进行解码操作
  3. 通过宏代码激活并执行恶意程序
  4. 采用多种技术绕过杀毒软件检测

二、技术分析详解

1. 初始感染向量

  • 恶意文档包含宏代码,打开时会显示启用宏的提示
  • 宏代码被密码保护,需要特殊手段才能查看(如密码替换脚本)

2. 关键API获取

宏代码首先获取两个关键Windows API:

ShellExecuteA  // 用于执行外部程序
GetTempPathA   // 用于获取系统临时文件夹路径

3. OLE对象释放机制

  • 宏代码激活后,会释放嵌入的OLE对象到临时文件夹
  • 释放路径:%TEMP%\WORD.VRE
  • 文件内容为BASE64编码的恶意软件

4. Certutil解码过程

恶意代码调用certutil.exe对释放的文件进行解码:

certutil -decode WORD.VRE VRE.exe

certutil是Windows内置工具,官方用途是证书管理,但包含的decode功能可对BASE64文件进行解码。

5. 最终恶意行为

解码后的VRE.exe执行以下操作:

  1. 启动IE进程并将恶意代码注入其中
  2. 设置开机自启动
  3. 连接C&C服务器:193.138.223.44

三、防御措施

1. Office宏安全设置

  • 在信任中心设置中禁用所有宏,或仅允许经过数字签名的宏执行
  • 不要轻易启用来自不可信来源的文档中的宏

2. Certutil监控

  • 监控系统日志中异常的certutil使用情况
  • 特别关注带有decode参数的certutil调用
  • 考虑通过组策略限制普通用户使用certutil

3. 系统加固

  • 启用应用程序白名单,限制临时目录的可执行文件运行
  • 监控临时文件夹中可疑的可执行文件创建
  • 使用高级威胁防护(ATP)解决方案检测此类攻击链

4. 用户教育

  • 培训用户识别可疑Office文档
  • 强调不要启用不明来源文档中的宏
  • 建立文档来源验证流程

四、检测指标

  1. 行为指标

    • Office进程生成certutil.exe
    • certutil.exe解码临时目录中的文件
    • 临时目录中创建并执行新生成的可执行文件

  2. 文件指标

    • %TEMP%\WORD.VRE
    • %TEMP%\VRE.exe

  3. 网络指标

    • 与193.138.223.44的通信
    • IE进程的异常网络连接

五、应急响应建议

发现此类攻击后应采取的措施:

  1. 立即隔离受感染主机
  2. 收集相关文件样本和日志
  3. 检查是否有其他系统执行类似certutil解码操作
  4. 审查所有近期打开的Office文档
  5. 重置受影响用户的凭证

六、总结

此类攻击利用合法工具(certutil)和常见功能(Office宏)实现恶意目的,具有较高的隐蔽性。防御需要多层防护策略,包括严格的宏安全设置、用户教育、系统监控和行为分析相结合。

Certutil解码的Office恶意软件分析与防御指南 一、恶意软件概述 该恶意软件利用Microsoft Office的宏功能和Windows内置的certutil工具实现恶意代码的释放与执行,主要特点包括: 通过OLE机制嵌入BASE64编码的恶意软件 使用certutil进行解码操作 通过宏代码激活并执行恶意程序 采用多种技术绕过杀毒软件检测 二、技术分析详解 1. 初始感染向量 恶意文档包含宏代码,打开时会显示启用宏的提示 宏代码被密码保护,需要特殊手段才能查看(如密码替换脚本) 2. 关键API获取 宏代码首先获取两个关键Windows API: 3. OLE对象释放机制 宏代码激活后,会释放嵌入的OLE对象到临时文件夹 释放路径: %TEMP%\WORD.VRE 文件内容为BASE64编码的恶意软件 4. Certutil解码过程 恶意代码调用certutil.exe对释放的文件进行解码: certutil是Windows内置工具,官方用途是证书管理,但包含的decode功能可对BASE64文件进行解码。 5. 最终恶意行为 解码后的VRE.exe执行以下操作: 启动IE进程并将恶意代码注入其中 设置开机自启动 连接C&C服务器:193.138.223.44 三、防御措施 1. Office宏安全设置 在信任中心设置中禁用所有宏,或仅允许经过数字签名的宏执行 不要轻易启用来自不可信来源的文档中的宏 2. Certutil监控 监控系统日志中异常的certutil使用情况 特别关注带有decode参数的certutil调用 考虑通过组策略限制普通用户使用certutil 3. 系统加固 启用应用程序白名单,限制临时目录的可执行文件运行 监控临时文件夹中可疑的可执行文件创建 使用高级威胁防护(ATP)解决方案检测此类攻击链 4. 用户教育 培训用户识别可疑Office文档 强调不要启用不明来源文档中的宏 建立文档来源验证流程 四、检测指标 行为指标 : Office进程生成certutil.exe certutil.exe解码临时目录中的文件 临时目录中创建并执行新生成的可执行文件 文件指标 : %TEMP%\WORD.VRE %TEMP%\VRE.exe 网络指标 : 与193.138.223.44的通信 IE进程的异常网络连接 五、应急响应建议 发现此类攻击后应采取的措施: 立即隔离受感染主机 收集相关文件样本和日志 检查是否有其他系统执行类似certutil解码操作 审查所有近期打开的Office文档 重置受影响用户的凭证 六、总结 此类攻击利用合法工具(certutil)和常见功能(Office宏)实现恶意目的,具有较高的隐蔽性。防御需要多层防护策略,包括严格的宏安全设置、用户教育、系统监控和行为分析相结合。