使用MS Word文档传播.Net RAT恶意软件
字数 2533 2025-08-06 08:35:11

恶意MS Word文档传播.Net RAT恶意软件分析报告

1. 恶意软件概述

本报告分析了一种通过MS Word文档传播的恶意软件攻击链,该攻击最终在受害者系统上安装NanoCore RAT(远程访问木马)。攻击流程如下:

  1. 恶意Word文档包含混淆的VBA宏代码
  2. 宏代码从远程服务器下载.NET可执行文件(CUVJN.exe)
  3. 下载的可执行文件解密并执行守护进程(dll.exe)
  4. 守护进程安装并保护NanoCore RAT客户端

2. 攻击流程详细分析

2.1 初始感染载体

恶意Word文档特征

  • 文件名:eml_-_PO20180921.doc
  • SHA256:FFEE1A33C084360B24C5B987B80887A2D77248224DBD6A0B6574FF9CEF74BDD6
  • 社会工程学手段:文档打开时显示"启用内容"提示

VBA宏代码分析

  • 自动执行:通过Document_Open事件自动触发
  • 代码混淆:经过混淆处理增加分析难度
  • 主要功能:
    • 从URL下载EXE文件:hxxp://www.wwpdubai.com/wp-content/plugins/jav/inv.exe
    • 保存到本地:%temp%\CUVJN.exe
    • 执行下载的文件

2.2 第一阶段载荷:CUVJN.exe

文件信息

  • 原始名称:icce.exe
  • SHA256:32BB5F767FE7788BCA4DD07F89F145D70EC3F58E2581CAB9CA6182D3FCE9BC86
  • 类型:.NET框架程序

功能分析

  1. 资源提取:

    • 从"9"资源文件夹加载多个数据块
    • 合并数据块形成数组变量"array10"
    • 解密数据获取PE文件(dll.exe)

  2. 进程内执行:

    • 通过反射调用dll.exe的main函数
    • 在CUVJN.exe进程内运行dll.exe

2.3 第二阶段载荷:dll.exe(守护进程)

主要功能

  1. 反检测机制:

    • 创建Mutex确保单实例运行
    • 检测Avast杀毒软件(snxhk.dll模块)
    • 如果发现Avast,等待其卸载

  2. 资源提取:

    • 从资源中加载gzip压缩数据
    • 解压缩获取NanoCore RAT客户端

  3. 持久化安装:

    • 检查当前路径是否为%AppData%\Microsoft\Windows\ScreenToGif\netprotocol.exe
    • 如果不是:
      • 复制自身到上述路径
      • 重命名为netprotocol.exe
      • 创建新进程执行
      • 终止原始CUVJN.exe进程

  4. 进程保护:

    • 使用NTDLL.dll的ZwSetInformationProcess函数
    • 修改进程状态使其难以终止

2.4 最终载荷:NanoCore RAT

功能特点

  • 完全混淆的.NET程序
  • 多功能远程控制能力:
    • 注册表修改
    • 进程控制
    • 权限提升
    • 文件传输
    • 键盘记录
    • 密码窃取

持久化机制

  1. 文件系统操作:

    • 在%AppData%下创建随机命名的文件夹(如AA401429-5100-45C4-9496-689224150CC3)
    • 创建子文件夹:
      • DHCP Manager - 存放重命名的恶意软件(dhcpmgr.exe)
      • Logs - 存储收集的数据

  2. 注册表修改:

    • 在HKCU\Software\Microsoft\Windows\CurrentVersion\Run创建自启动项
    • 名称:"DHCP Manager"
    • 值指向:%AppData%\[随机字符串]\DHCP Manager\dhcpmgr.exe

数据收集

  • 键盘记录:
    • 记录所有键盘输入
    • 特别关注浏览器输入(如网上银行凭证)
  • 日志存储:
    • 在Logs子文件夹下按用户名分类
    • 文件伪装成Windows更新日志

3. 检测与清除指南

3.1 检测指标(IOC)

网络指标

  • 下载URL:hxxp://www.wwpdubai.com/wp-content/plugins/jav/inv.exe

文件指标

  1. 初始文档:

    • eml_-_PO20180921.doc
    • SHA256: FFEE1A33C084360B24C5B987B80887A2D77248224DBD6A0B6574FF9CEF74BDD6

  2. 恶意可执行文件:

    • CUVJN.exe/icce.exe/dhcpmgr.exe/netprotocol.exe
    • SHA256: 32BB5F767FE7788BCA4DD07F89F145D70EC3F58E2581CAB9CA6182D3FCE9BC86

检测名称

  • FortiGuard检测:
    • Word文档:VBA/Agent.1B7E!tr.dldr
    • CUVJN.exe:MSIL/Injector.REB!tr
    • URL分类:恶意网站

3.2 清除步骤

  1. 注册表清理:

    • 删除HKCU\Software\Microsoft\Windows\CurrentVersion\Run下的"DHCP Manager"值
    • 记录其数据值(恶意文件路径)供后续使用

  2. 系统重启:

    • 重启Windows系统以终止所有相关进程

  3. 文件系统清理:

    • 删除%AppData%\Microsoft\Windows\ScreenToGif文件夹
    • 删除步骤1中记录的恶意软件安装目录(%AppData%\[随机字符串])

4. 防御建议

  1. 用户教育:

    • 不要启用不明文档中的宏内容
    • 警惕要求启用内容的文档

  2. 技术防护:

    • 启用宏安全设置(禁用所有宏,并发出通知)
    • 使用具有行为检测能力的终端防护产品
    • 部署网络层防护,阻止已知恶意URL

  3. 监控措施:

    • 监控可疑的进程创建模式
    • 监控%AppData%下的异常文件夹创建
    • 监控注册表自启动项的修改

  4. 应急响应:

    • 建立恶意软件分析能力
    • 制定针对此类攻击的响应流程
    • 定期更新IOC数据库

5. 技术总结

该攻击链展示了现代恶意软件传播的典型特征:

  • 使用社会工程学诱骗用户启用宏
  • 多阶段载荷递送增加检测难度
  • 使用.NET框架便于跨平台和混淆
  • 先进的进程保护技术
  • 持久化机制确保长期驻留
  • 全面的信息收集能力

防御此类攻击需要多层防护策略,结合用户教育、技术控制和持续监控。

恶意MS Word文档传播.Net RAT恶意软件分析报告 1. 恶意软件概述 本报告分析了一种通过MS Word文档传播的恶意软件攻击链,该攻击最终在受害者系统上安装NanoCore RAT(远程访问木马)。攻击流程如下: 恶意Word文档包含混淆的VBA宏代码 宏代码从远程服务器下载.NET可执行文件(CUVJN.exe) 下载的可执行文件解密并执行守护进程(dll.exe) 守护进程安装并保护NanoCore RAT客户端 2. 攻击流程详细分析 2.1 初始感染载体 恶意Word文档特征 : 文件名:eml_ -_ PO20180921.doc SHA256:FFEE1A33C084360B24C5B987B80887A2D77248224DBD6A0B6574FF9CEF74BDD6 社会工程学手段:文档打开时显示"启用内容"提示 VBA宏代码分析 : 自动执行:通过Document_ Open事件自动触发 代码混淆:经过混淆处理增加分析难度 主要功能: 从URL下载EXE文件:hxxp://www.wwpdubai.com/wp-content/plugins/jav/inv.exe 保存到本地:%temp%\CUVJN.exe 执行下载的文件 2.2 第一阶段载荷:CUVJN.exe 文件信息 : 原始名称:icce.exe SHA256:32BB5F767FE7788BCA4DD07F89F145D70EC3F58E2581CAB9CA6182D3FCE9BC86 类型:.NET框架程序 功能分析 : 资源提取: 从"9"资源文件夹加载多个数据块 合并数据块形成数组变量"array10" 解密数据获取PE文件(dll.exe) 进程内执行: 通过反射调用dll.exe的main函数 在CUVJN.exe进程内运行dll.exe 2.3 第二阶段载荷:dll.exe(守护进程) 主要功能 : 反检测机制: 创建Mutex确保单实例运行 检测Avast杀毒软件(snxhk.dll模块) 如果发现Avast,等待其卸载 资源提取: 从资源中加载gzip压缩数据 解压缩获取NanoCore RAT客户端 持久化安装: 检查当前路径是否为%AppData%\Microsoft\Windows\ScreenToGif\netprotocol.exe 如果不是: 复制自身到上述路径 重命名为netprotocol.exe 创建新进程执行 终止原始CUVJN.exe进程 进程保护: 使用NTDLL.dll的ZwSetInformationProcess函数 修改进程状态使其难以终止 2.4 最终载荷:NanoCore RAT 功能特点 : 完全混淆的.NET程序 多功能远程控制能力: 注册表修改 进程控制 权限提升 文件传输 键盘记录 密码窃取 持久化机制 : 文件系统操作: 在%AppData%下创建随机命名的文件夹(如AA401429-5100-45C4-9496-689224150CC3) 创建子文件夹: DHCP Manager - 存放重命名的恶意软件(dhcpmgr.exe) Logs - 存储收集的数据 注册表修改: 在HKCU\Software\Microsoft\Windows\CurrentVersion\Run创建自启动项 名称:"DHCP Manager" 值指向:%AppData%\[随机字符串 ]\DHCP Manager\dhcpmgr.exe 数据收集 : 键盘记录: 记录所有键盘输入 特别关注浏览器输入(如网上银行凭证) 日志存储: 在Logs子文件夹下按用户名分类 文件伪装成Windows更新日志 3. 检测与清除指南 3.1 检测指标(IOC) 网络指标 : 下载URL:hxxp://www.wwpdubai.com/wp-content/plugins/jav/inv.exe 文件指标 : 初始文档: eml_ -_ PO20180921.doc SHA256: FFEE1A33C084360B24C5B987B80887A2D77248224DBD6A0B6574FF9CEF74BDD6 恶意可执行文件: CUVJN.exe/icce.exe/dhcpmgr.exe/netprotocol.exe SHA256: 32BB5F767FE7788BCA4DD07F89F145D70EC3F58E2581CAB9CA6182D3FCE9BC86 检测名称 : FortiGuard检测: Word文档:VBA/Agent.1B7E !tr.dldr CUVJN.exe:MSIL/Injector.REB !tr URL分类:恶意网站 3.2 清除步骤 注册表清理: 删除HKCU\Software\Microsoft\Windows\CurrentVersion\Run下的"DHCP Manager"值 记录其数据值(恶意文件路径)供后续使用 系统重启: 重启Windows系统以终止所有相关进程 文件系统清理: 删除%AppData%\Microsoft\Windows\ScreenToGif文件夹 删除步骤1中记录的恶意软件安装目录(%AppData%\[随机字符串 ]) 4. 防御建议 用户教育: 不要启用不明文档中的宏内容 警惕要求启用内容的文档 技术防护: 启用宏安全设置(禁用所有宏,并发出通知) 使用具有行为检测能力的终端防护产品 部署网络层防护,阻止已知恶意URL 监控措施: 监控可疑的进程创建模式 监控%AppData%下的异常文件夹创建 监控注册表自启动项的修改 应急响应: 建立恶意软件分析能力 制定针对此类攻击的响应流程 定期更新IOC数据库 5. 技术总结 该攻击链展示了现代恶意软件传播的典型特征: 使用社会工程学诱骗用户启用宏 多阶段载荷递送增加检测难度 使用.NET框架便于跨平台和混淆 先进的进程保护技术 持久化机制确保长期驻留 全面的信息收集能力 防御此类攻击需要多层防护策略,结合用户教育、技术控制和持续监控。