2019年8月，網絡安全公司Proofpoint的研究人員監測到一波惡意電子郵件分發活動，旨在傳播包含內嵌惡意宏代碼的Microsoft Word和Microsoft Excel附件。

進一步的分析顯示，內嵌在惡意文檔中的宏代碼組成了一種全新的下載器（被Proofpoint研究人員命名為“WhiteShadow”），能夠連接到由攻擊者控制的Microsoft SQL Server數據庫，進而以執行SQL查詢的方式下載下一階段有效載荷。

圖1.惡意電子郵件示例

感染鏈分析

WhiteShadow的啟動需要收件人執行兩個動作：一是打開惡意文檔，二是啟用宏。

值得一提的是，如果你的電腦總是莫名其妙中毒，多半也是因為你沒頭沒腦地執行了這兩個動作。

WhiteShadow啟動后，便會連接到由攻擊者控制的Microsoft SQL Server數據庫，然后執行SQL查詢來檢索在數據庫中存儲為ASCII編碼長字符串的下一階段有效載荷。

一旦檢索到，它就會將對字符串進行解碼，并將數據分成數組（分隔符有“!”和“,”兩種）寫入一個PKZIP壓縮文件，然后寫入硬盤。

圖2. 用分隔符“!”將數據分成數組

圖3. 用分隔符“,”將數據分成數組

PKZIP壓縮文件包含一個可執行文件（即下一階段有效載荷），一旦被提取，便會開始在系統上運行。

圖4.完整感染鏈

下載器分析

WhiteShadow使用SQLOLEDB連接器連接到遠程Microsoft SQL Server數據庫，執行查詢，并將結果以保存為Zip壓縮文件。

SQLOLEDB連接器默認包含在許多Microsoft Office安裝程序中，一旦安裝，Windows子系統的各個部分以及Microsoft Office文檔中的宏都可以使用它。

到目前為止，被提取的有效載荷包括Crimson、Nanocore、njRAT、AgentTesla、Formbook以及AZORrult等，具體如下：

圖5.2019年8月至9月的WhiteShadow活動情況統計

在mssql.somee.com的子域中，托管有多個不同的數據庫：

• antinio.mssql.somee[.]com
• bytesdata.mssql.somee[.]com
• fabancho.mssql.somee[.]com

在每個數據庫中，WhiteShadow訪問的數據都是保存在一個名為“Data”的表中，該表僅含三列：

• Id_No：有效載荷的主鍵“int”標識符；
• Byte_data：有效載荷數據的ASCII編碼；
• Net_ver：有效載荷的“customer”標識符或版本字符串

有效載荷分析

在分析有效載荷時，Proofpoint公司的研究人員發現Crimson出現了多次更新。更新的命令如下：

cownar:

將可執行文件添加到Environment.SpecialFolder.CommonApplicationData\\%install_folder%\\updates\\中，并通過Process.Start(exe_path)執行。

cscreen:

獲取受感染計算機的JPEG格式屏幕截圖，并使用C＆C響應命令“ capScreen”上傳到C＆C服務器。

getavs:

創建一個拼接的進程字符串，格式如下：

>%process-id%>%process_module_name%><

針對系統中正在運行的每一個進程，通過以下方式枚舉：

Process[]processes = Process.GetProcesses();

putsrt:

該函數的輸入是一個字符串，它會將該字符串與當前正在運行的進程可執行文件路徑進行比較。如果路徑不同，則會通過以下命令移動可執行文件：

File.WriteAllBytes(text, File.ReadAllBytes(executablePath));

然后，它會將修改后的路徑安裝到“CurrentVersion AutoRun”注冊表項中：

SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

結論

盡管使用Microsoft SQL查詢來檢索下一階段有效載荷并不是一項新技術，但卻很少被使用，而WhiteShadow恰好就是這樣一種全新的下載器。

通過將下載器和Microsoft SQL Server數據庫相結合，攻擊者成功傳播了包括遠控木馬、下載型病毒、鍵盤記錄程序在內的多種惡意軟件。

如此看來，想要避免電腦莫名其妙感染病毒，切記打開來路不明的電子郵件是不能少了，至少不應該隨意在office文檔中“啟用宏”。

總結

以上是生活随笔為你收集整理的电脑总是莫名其妙中毒电脑老是中毒的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。