如何將Python遠控隱藏在文檔圖片中

這篇文章主要講解了“如何將Python遠控隱藏在文檔圖片中”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“如何將Python遠控隱藏在文檔圖片中”吧！

1、概述

    近日，安天CERT通過網絡安全監測發現了一起惡意文檔釋放Python編寫的遠控木馬事件。通過文檔內容中涉及的組織信息和其中攻擊者設置的誘導提示，安天CERT判斷該事件是一起針對阿塞拜疆共和國國家石油公司進行的定向攻擊活動。此次事件中，攻擊者充分利用技術實現規避反病毒軟件查殺，具體為利用了隱寫術將遠控木馬相關文件以壓縮包格式存儲于惡意文檔里的圖片中以備后期提取利用。首先將該惡意文檔另存為docx文件，該文件格式具備ZIP文件的特性，然后另存為ZIP格式進行解壓并獲取其中的圖片，最后提取圖片中的遠控木馬文件。此遠控木馬采用Python語言編寫，具備一般遠控的上傳、下載和命令執行等功能。

2、事件對應的ATT&CK映射圖譜

   本報告中涉及事件為攻擊者針對目標系統投放惡意文檔，釋放并運行遠控木馬。通過梳理該事件對應的ATT&CK映射圖譜，揭示攻擊者在該事件中使用的技術點，如下圖所示：

圖 2-1 此次攻擊活動的ATT&CK映射圖譜

具體的ATT&CK技術行為描述如下表所示：

表 2-1 事件對應的ATT&CK技術行為描述表

3、樣本分析

3.1 樣本標簽

表3-1 樣本標簽

3.2 樣本運行流程

當惡意文檔中的宏代碼運行后，存在兩個自動執行函數，在不同狀態下觸發執行。一個是當文檔狀態處于打開時觸發執行，通過創建目錄、拷貝、另存ZIP格式、解壓等操作獲取嵌入圖片中的Python編寫的遠控木馬；另一個是當文檔狀態處于關閉時執行，調用shell以隱藏窗口的方式執行bat遠控啟動腳本，進而運行遠控木馬腳本，該腳本主要功能為釋放vbs腳本文件（內容為調用bat遠控啟動腳本），并以該腳本為載體創建計劃任務，同時建立循環加載配置文件與C2建立連接，獲取指令，執行對應操作。

圖 3-1 宏代碼創建和釋放的相關文件

圖 3-2 樣本運行流程

3.3 惡意文檔分析

樣本為一個具有惡意宏代碼的Word文檔，從內容上看，是以SOCAR公司的名義偽造的一份“關于分析用催化劑的出口”的文檔，同時利用模糊效果和提示信息的手段，誘騙目標通過點擊“啟動宏”按鈕的方式可查看文檔詳細內容。SOCAR是阿塞拜疆共和國國家石油公司的簡稱，結合文檔內容，判斷這是一起針對阿塞拜疆共和國國家石油公司員工的惡意文檔投遞活動。

圖 3-3 文檔內容

通過提取文檔中的宏代碼分析，主要有兩個觸發操作的函數“Document_Open()”和“Document_Close()”，同時該宏代碼存在大量混淆，具體是將“rqxjx”、“RXQYE”、“_RXQYE_20210329_092748_rqxjx_”字符大量嵌入到自定義變量和函數中，能夠在一定程度上規避反病毒軟件和干擾分析工作。

圖 3-4 自動執行的相關函數

圖 3-5 混淆的宏代碼

解混淆后，從Document_Open()函數中可以看到其中定義了一些文件路徑變量，通過MyFunc23函數解密相關路徑，依據這些變量創建相應目錄和文件，同時提取惡意文檔中利用隱寫術保存于圖片中的遠控木馬相關文件。

圖 3-6 Document_Open函數內容

表3-2變量信息

圖 3-7 Python編寫的遠控相關文件

Document_Close函數功能為以隱藏方式運行遠控木馬啟動腳本，腳本文件即為“C:\Users\MA\AppData\Roaming\nettools48\”目錄下的runner.bat文件。該腳本文件初始設置了一定時間的延遲，而后運行當前文件夾下的遠控木馬腳本“vabsheche.py”。

圖 3-8 運行遠控木馬啟動腳本

腳本內容如下：

遠控木馬腳本內容主要分為三部分：

3.4 釋放的遠控木馬分析

第一部分定義了多個系統判斷函數，包括Windows、Linux和Mac OS X，同時讀取C2地址配置文件，獲取對應域名和端口。從系統判斷函數上看，雖然本次發現的腳本中只調用了Windows系統判斷函數，且后續內容只能在Windows系統上執行，但是不排除攻擊者后期會開發針對Linux和Mac OS X系統的腳本。

圖 3-9 遠控腳本第一部分內容

第二部分定義一個task_registration函數，主要功能為將啟動腳本runner.bat的路徑寫入vbs腳本中，實現vbs腳本調用運行遠控，而vbs的調用，是通過調用schtasks命令創建計劃任務，實現每三十分鐘運行一次vbs腳本。最后以Windows系統判斷函數運行結果來觸發task_registration函數。

圖 3-10 遠控腳本第二部分內容

最后一部分功能是C2命令處理過程，具體如下：通過同目錄下的證書文件“cert.pem”結合前期獲取的域名和端口，同C2建立連接，獲取C2返回信息。

圖 3-11 連接C2代碼

在整體代碼上添加了循環和容錯處理，如果連接成功，則解析C2返回的信息，依據特定數據，執行不同的指令操作；連接失敗，則延遲120秒，繼續嘗試連接C2，持續運行此過程。遠控木馬C2地址：pook.mywire.org 端口：220。

表3-3 遠控木馬指令表

4、總結

    由于該遠控木馬是用Python編寫，對應文件具備腳本文件特性，其實質文件格式為文本文件，相較于PE文件，這種文件格式在一定程度上能夠降低被反病毒軟件查殺的可能性，同時結合遠控木馬VT檢測結果，安天CERT認為這種腳本形式的遠控木馬將會更加頻繁的被攻擊者使用，甚至結合混淆編碼進行使用。

感謝各位的閱讀，以上就是“如何將Python遠控隱藏在文檔圖片中”的內容了，經過本文的學習后，相信大家對如何將Python遠控隱藏在文檔圖片中這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！