文档化身商业木马，对“盗神”的分析与溯源

前言
利用文档进行木马传播的手法，最近一段时间随着敲诈类木马的流行，而被广泛利用了起来。与此同时，这个手法也开始被传统木马所借鉴。近日哈勃分析系统捕捉到一类隐私窃取类木马，也开始利用文档作为自身的传播手段。
据分析，此木马通常定向攻击企业商务用户，目前已经有大量受害者的隐私被窃取，包括黎巴嫩，美国，印度，意大利，马来西亚，韩国，尼日利亚，英国，泰国，希腊，墨西哥，越南等国家，在中国境内也发现有台湾和广东的企业用户被植入该木马，包括邮箱密码、网站密码、聊天记录、桌面截图等在内的大量隐私遭到泄漏。顺着这个线索，哈勃进一步发现了此木马的制作团体以及进行兜售的网站。

木马的攻击流程可以简要地表示为下图：

在这次事件中，哈勃分析系统捕获到的部分情报如下：

此木马的详细技术分析
一、诱导
木马文件是一个带宏的word文档，后缀名为docm。打开该文档后，其首页内容为诱导性的图片，假称媒体插件未加载，要求用户开启宏以查看内容。

二、释放
当用户点击开启宏之后，文档中的恶意宏文件会开始执行。查看宏代码可以发现，宏的内容经过一定程度的混淆，目的是提高安全人员对其进行破解的难度。

经过分析，此宏的作用是在Temp目录下的一个随机目录名中释放恶意可执行文件，文件的扩展名为“cmd”（中间带一个空格），而文件的本体并非存放在宏之中，而是存放在文档正文之中。

木马作者通过将正文文字设置为白色，以达到隐藏的效果。实际上，这些正文是经过编码的二进制文件，宏通过读取正文并解码后，将真正的恶意数据写入前述目录，即达到释放恶意文件的目的。
三、下载
接下来，宏会运行该可执行文件，此文件的主要作用，是从某网络地址上下载一个名为install.zip的压缩包。该压缩包是加密的，这样可以避免在传输过程中被扫描而报毒。下载完成后，木马会使用密码将压缩包中内容解压到C:\ProgramData\目录下。这个过程中，下载地址和压缩密码均为硬编码在可执行文件中。其中下载地址的有效字符中间填充了大量的空白字符0×20，目的是躲避静态扫描对于字符串的检测。


此外，此文件还会在解压目录中生成一个.gtk.conf配置文件。
四、窃密
压缩包解压后，木马会运行其中的msupd.exe文件，这个文件是执行恶意行为的主程序，它启动后，会检查同目录下是否有.gtk.conf配置文件，这个加密的配置文件设置木马的功能，指导其拉起其它组件，进行各种隐私窃取操作，包括收集密码、键盘记录、屏幕截图等。
1.收集密码
收集密码时使用的是压缩包中的MSASCui.exe程序，其被调用的命令行为：

经过分析发现，此程序实际上是网络上的一个开源项目，LaZagneProject，该项目是一个在计算机上检索存储的密码的程序，支持Windows、Linux/Unix-Like等多种操作系统中，包括系统密码、浏览器密码、聊天软件密码、游戏密码、代码仓库（Git、Svn等）密码、邮箱密码、Wifi密码等在内的大量密码信息。
此项目的源代码是用Python写的，同时提供了Windows下独立的可执行程序版本。通过Python源码我们可以了解其收集密码的一些细节，比如对于IE密码，程序会首先从系统中提取密码数据，Win7及之前的系统是从注册表中提取：

Win8及以后的系统是使用Powershell命令从PasswordVault中提取：

对于提取出来的密码数据，会使用系统中的CryptUnprotectDataAPI解为明文。这是因为，保存的密码数据在Windows系统中是使用CryptProtectDataAPI进行保护的，编码后的数据在另一台电脑甚至同一系统下的不同用户账户都是无法解读的。可是木马利用此开源项目，先在已登录的用户账户下将密码解为明文，再回传给攻击者，就可以绕过此密码保护体系。这一手法也用在了很多其它不同的密码的收集流程中。