首个恶意文档分析

Unit 42团队捕获的第一个文档名为“MOFA-061019.doc”。如上所述，该文档受到密码保护，密码为“Abdullah@2019”。

在输入密码后，我们便能够看到文档的内容，但其中的图片似乎无法正常显示。

一旦收件人启用了文档中的嵌入的恶意宏，一个VBScript脚本就将被解码并保存到“C:\programdata\Micorsoft\Microsoft.vbs”。

接来下，Microsoft.vbs脚本将与C2“servicebios[.]com”进行通信，以从“https://servicebios[.]com/PlayerVLC.vbs”检索并下载第二个VBScript脚本。

第二个VBScript脚本在下载后将被保存到“C:\ProgramData\PlayerVLC.vbs”，主要负责从“https://servicebios[.]com/PlayerVLC.msi”检索并下载恶意有效载荷，并将其保存到“C:\ProgramData\PlayerVLC.msi”。

在下载恶意有效载荷之后，第二个VBScript脚本还将在命令行中运行如下命令，以杀死现有的msiexec.exe进程实例，并使用ping应用程序休眠两秒钟，然后再使用合法的msiexec.exe应用程序启动下载的恶意有效载荷，即PlayerVLC.msi：

%comspec% /c taskkill /F /IM msiexec.exe & ping 127.0.0.1 -n 2 >NUL & msiexec /i C:\ProgramData\PlayerVLC.msi /quiet /qn /norestart

恶意Word文档分析

在2019年10月31日和11月2日捕获的Word文档名为“attachment.doc”，同样试图诱导收件人点击“Enable Content（启用内容）”按钮来运行内嵌的恶意宏。不同之处在于，文档不再受密码保护。

宏代码非常简单，功能是从以下“hxxps://drive.google[.]com/uc?export=download&id=1yiDnuLRfQTBdak6S8gKnJLEzMk3yvepH”下载并解码一个Base64编码的可执行文件，然后将其保存到“%TEMP%\rundll64.exe”。

解码后的可执行文件是一个编译后的AutoIt脚本，功能是将内嵌的可执行文件安装到“%userprofile%\runawy.exe”并运行，而runawy.exe正是Spark后门的一个变种。

恶意PDF文档分析

恶意PDF文档名为“Picture.pdf”，内容采用阿拉伯文书写，旨在诱导收件人点击文中的链接。

点击链接，一个名为“Pictures.rar”的RAR压缩文件将会被下载，其中包含一个名为“??? ???? ????? ?? ?????.exe”的文件。

分析表明，这个可执行文件同样是一个编译后的AutoIt脚本，功能是将内嵌的可执行文件保存到“C:\Users\Public\ pdf.exe”并运行。

毫无疑问，pdf.exe也是Spark后门的一个变种，在执行后会将收集到的系统信息发送到C2服务器。

在发送完系统信息后，Spark将等待来自C2服务器的响应，其中包含需要在接下来执行的命令。

结语

在2019年10月至12月期间，黑客组织Molerats对位于六个不同国家的八个组织下了手，旨在通过Spark后门窃取关键数据。

无论是Word文档也好，还是PDF文档也好，这些内嵌恶意有效载荷的诱饵文档依旧是通过社会工程抵达受害者手里的。

由此可见，对于网络安全而言，可怕的并不是恶意软件或者网络黑客，更多的是我们是否拥有良好的上网习惯，尤其是在电子邮箱的使用方面。