在野外,垃圾邮件运动是传播恶意软件的主要媒介。以前,我们已经使用带有恶意宏的MS Office文件和漏洞来撰写有关此类活动的文章。最近,我们观察到一个垃圾邮件活动,该活动使用.url文件作为第一阶段下载程序来传播恶意软件并绕过安全功能。
On 13日 2016年9月,Microsoft发布了安全公告MS16-104 [1],该公告解决了一些影响Internet Explorer的漏洞。这些漏洞之一是CVE-2016-3353–一个安全功能绕过处理“ .URL”文件的错误。此安全问题不允许远程执行代码本身,而是允许攻击者在涉及用户交互的攻击中绕过安全警告。
Quarkslab提到“攻击者可以向目标用户发送专门的 精心制作。旨在利用旁路的URL文件 ”。另一方面,ZDI咨询ZDI-16-506提到“If 日 e victim opens 的。URL文件,攻击者可以对受害者执行任意代码’用户上下文中的机器”。此外,ZDI提到该错误是由Eduardo Braun Prado发现的。
参考:
//blog.quarkslab.com/analysis-of-ms16-104-url-files-security-feature-bypass-cve-2016-3353.html
这是Seqrite Labs对此类垃圾邮件活动的深入分析。
什么是.url文件?
URL文件是Web浏览器(例如Microsoft Internet Explorer(MSIE),Apple Safari和Google Chrome)引用的快捷方式文件。 URL文件包含有关网站的信息’s URL地址,也可能包含对favicon.ico文件的引用,该文件显示为URL快捷方式的图标。当用户单击此图标时,URL文件被引用并且用户’的Internet浏览器将启动URL指向的网页。
因此,这些文件不具有巨大的恶意威胁,但是可以被滥用来创建恶意链接。该活动的独特之处不仅在于此文件类型的使用,还在于它的配置方式。
在我们的观察过程中,我们仅发现了特定的URL。在此广告系列中,而不是URL’s a direct file’使用s链接下载JS文件。
下面的图1显示了所提到的.url文件的内容的示例。
图1:.url文件的内容
该活动通常用于访问本地文件系统。它也可以用于远程文件系统,该文件系统可以通过Windows上的SMB协议进行访问。它是一种使用SMB协议作为输入通道传播恶意软件的新传播技术。
感染常规
此广告系列中的攻击始于垃圾邮件。该电子邮件包含一个zip文件。此技巧使攻击者具有以下优点:
- 电子邮件对于目标用户而言看起来更合法
- 电子邮件保护安全模块很难扫描zip文件中的文件。
下面的图2显示了此活动中使用的电子邮件示例。
图2:垃圾邮件
下载完该zip文件并成功解压缩后,将获得“ Random_name.url”文件,当用户单击该文件打开其内容时,主机将尝试与攻击者控制的服务器建立SMB连接。一旦收到用户系统上的恶意有效载荷(.js文件),就会询问用户是否要执行,如图3所示。
图3:下载的JS提示以执行。
因此,该JS文件连接到另一个远程服务器,从该远程服务器下载包含其他恶意代码的可执行文件。
图4.恶意活动的进程树。
图4显示了运行.url文件后完整的分步执行过程。
但是,到目前为止,我们已经注意到这是Quant Loader恶意软件的新变种。使用此活动的目的是在主机系统上实现坚韧性,并下载其他可能窃取用户信息的恶意软件。
序列检测
序列 Virus Protection成功检测并阻止了负责将有效负载传递到系统的恶意.url文件。
图5. URL文件的Seqrite Virus Protection警报
图6.恶意负载的Seqrite Virus Protection警告
防范此类恶意软件攻击的最佳做法
- 不要下载附件,也不要单击从不需要或意外的电子邮件来源收到的链接。
- 保持你的 防毒软件 已更新,并确保您使用的是最新版本。
- 始终保持重要数据的安全备份。
- 在您的操作系统和程序(如Adobe,Java,Internet浏览器等)上应用所有建议的更新。
- 确保您的计算机的自动更新已启用。
主题专家:
Gulamgaus Shaikh,普拉希尔(Prashil Moon)|快速修复安全实验室
没意见