翻译：myswsun

预估稿费：80RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

0x00 前言

本文介绍一种新的恶意下载者，通过PPT传递恶意powershell脚本，可直接通过鼠标悬停事件触发。

0x01 分析

这个PPT文档很有趣。首先这个文档不依赖宏、Javascript或者VBA来作为执行方式。这意味着这个文档不符合常规的利用方式。当用户打开文档，呈现文本“Loading…Please wait”，其对用户来说是一个蓝色的超链接。当用户悬停鼠标到文本之上（很常见的用户检测超链接的方式）将导致执行Powershell。这通过在悬停操作中定义一个元素实现。这个悬停操作是为了当用户鼠标悬停在文本时在PowerPoint中执行一个程序。在slide1的资源定义中，“rID2”被定义为一个超链接，其目标是PowerShell命令。由于它的长度，在下面一步步的截图中可以看到它。

当PowerShell执行时，会从域名“cccn.nl”得到c.php文件，下载它，以“ii.jse”为名称保存在临时目录中。它能通过wscript.exe执行，然后释放出一个文件“168.gop”，然后以-decode为参数执行certutil.exe。certutil.exe将168.gop解码，在临时目录保存为484.exe。然后执行484.exe，它会启动mstsc.exe允许RDP访问系统。484.exe之后被mstsc.exe重命名保存到AppDataRoamingMicrosoftInternet Explorersectcms.exe，然后在新目录重新执行。一个bat文件被写到磁盘。这个bat文件的目的似乎是改变sectcms.exe为隐藏属性（系统文件且只读）。它还会删除临时文件夹下的所有的.txt/.exe/.gop/.log/.jse文件。我在沙箱中执行了8小时，但是没有等到攻击者连接系统。因此我不能看见后门的其他目的。

截图分析：

打开文档的呈现文本：

当悬停文档时的警告消息：

如果用户允许了，将显示下面的PowerShell提示，并很快隐藏：

下面是我为了测试PowerShell是否感知代理修改的callout——通过在PowerPoint Slide中编辑XML文件：

下面是Slide1元素中定义的rID2元素，很明显看到Powershell命令作为超链接的目标：

下面是Slide1 XML。红色高亮部分表示怎么定义悬停动作：

Sysmon 截图分析：

PowerPoint初始打开时的Sysmon日志：

Sysmon记录的PowerShell命令的执行：

恶意的payload的初始进程创建：

Mstsc.exe的进程创建之后，用于RDP访问系统：

原始payload进程的终结：

原始payload的文件拷贝。重命名为sectcms.exe和在AppData文件夹下隐藏：

新移动的payload的再次执行：

在临时文件夹中创建bat文件：

通过cmd.exe执行bat文件。执行源是mstsc.exe：

Bat的一个功能是添加隐藏、系统和只读属性：

Sectcms.exe的第二次实例创建：

最后，sectcms.exe的一个实例的退出：

0x02 IOCs

File: order.ppsx

MD5: 823c408af2d2b19088935a07c03b4222

SHA1: df99061e8ad75929af5ac1a11b29f4122a84edaf

SHA256: f05af917f6cbd7294bd312a6aad70d071426ce5c24cf21e6898341d9f85013c0

SHA512: 2cc9e87e0d46fdd705ed429abb837015757744783bf1e904f9f22d56288b9554a1bc450142e2b1644a4912c12a522391b354d97956e4cb94890744266249b7f9

File: C:UsersCurrent UserAppDataLocalTemp168.gop

MD5: 9B5AC6C4FD5355700407962F7F51666C

SHA: 9FDB4CD70BBFB058D450AC9A6985BF3C71840906

SHA-256: E97B266D0B5AF843E49579C65838CEC113562A053B5F87A69E8135A0A82564E5

SHA-512: AB85132D845437A7900E03C2F3FA773433815A4893E16F7716A5F800558B5F01827F25463EAFF619F804C484A1D23CDD5F2BCCC0F91B4B4D0C117E87D830B1B3

File: C:UsersCurrent UserAppDataLocalTemp484.exe

File: C:UsersCurrent UserAppDataRoamingMicrosoftInternet Explorersectcms.exe

MD5: 13CDBD8C31155610B628423DC2720419

SHA: 7633A023852D5A0B625423BFFC3BBB14B81C6A0C

SHA-256: 55C69D2B82ADDD7A0CD3BEBE910CD42B7343BD3FAA7593356BCDCA13DD73A0EF

SHA-512: 19139DAE43751368E19C4963C4E087C6295CC757B215A32CB95E12BDD82BB168DB91EA3385E1D08B9A5D829549DFBB34C17CA29BFCC669C7EAE51456FCD7CA49

File: C:UsersCurrent UserAppDataLocalTempii.jse

MD5: F5B3D1128731CAC04B2DC955C1A41114

SHA: 104919078A6D688E5848FF01B667B4D672B9B447

SHA-256: 55821B2BE825629D6674884D93006440D131F77BED216D36EA20E4930A280302

SHA-512: 65D8A4CB792E4865A216D25068274CA853165A17E2154F773D367876DCC36E7A7330B7488F05F4EE899E40BCAA5F3D827E1E1DF4915C9693A8EF9CAEBD6D4BFB

C2 Communications:

hxxp://cccn.nl/c.php

hxxp://cccn.nl/2.2

IP Address of C2/Payload Domain:

46.21.169.110

0x03 参考

https://www.peerlyst.com/posts/microsoft-office-malware-now-being-delivered-without-macros-but-using-pps-url-mouse-hover-marry-tramp?trk=search_page_search_result 

https://www.joesecurity.org/reports/report-823c408af2d2b19088935a07c03b4222.html  

https://www.hybrid-analysis.com/sample/796a386b43f12b99568f55166e339fcf43a4792d292bdd05dafa97ee32518921?environmentId=100 

https://www.virustotal.com/en/file/796a386b43f12b99568f55166e339fcf43a4792d292bdd05dafa97ee32518921/analysis