Το κακόβουλο λογισμικό backdoor του Outlook NotDoor εμφανίστηκε για πρώτη φορά σε εκστρατείες απειλών που εντοπίστηκαν από το Lab52, το τμήμα πληροφοριών της ισπανικής εταιρείας S2 Grupo.
Συνδεδεμένο με το APT28/Fancy Bear, το NotDoor αξιοποιεί κακόβουλες μακροεντολές του Outlook για μόνιμη πρόσβαση και κλοπή δεδομένων. Οι εισβολείς ενσωματώνουν αυτά τα ωφέλιμα φορτία μακροεντολών στα αρχεία δεδομένων του Outlook για να παρακολουθούν τα εισερχόμενα email και να ενεργοποιούν κρυφό κώδικα σε μολυσμένα συστήματα.
Αυτό επέτρεψε στις προηγμένες ομάδες επίμονων απειλών να διεγείρουν αθόρυβα αρχεία, να εκτελούν εντολές και να διατηρούν κρυφό έλεγχο με κατάχρηση μιας αξιόπιστης εφαρμογής.
Ο αρχικός συμβιβασμός ξεκινά συχνά με την παράπλευρη φόρτωση DLL. Οι φορείς απειλών τοποθετούν ένα κακόβουλα κατασκευασμένο SSPICLI.dll δίπλα στο νόμιμο OneDrive.exe, εκμεταλλευόμενοι τον τρόπο με τον οποίο τα Windows δίνουν προτεραιότητα στη φόρτωση DLL.
Το ψεύτικο DLL επιτρέπει στον ηθοποιό να εκτελεί εντολές και να σκηνοθετεί στοιχεία κακόβουλου λογισμικού χωρίς να προκαλεί συναγερμούς.
Τα τεχνουργήματα μόλυνσης περιλαμβάνουν πολλά αρχεία: ένα πραγματικό OneDrive.exe, ένα SSPICLI.dll (κακόβουλο), το tmp7E9C.dll (μετονομάστηκε σε νόμιμο DLL) και το testtemp.ini που περιέχει τη μακροεντολή VBA. Αυτές οι λεπτομέρειες είναι ζωτικής σημασίας για τους υπερασπιστές που παρακολουθούν ύποπτα συμβάντα αρχείων και τροποποιήσεις μητρώου.
Οι ερευνητές ασφαλείας του Splunk ήταν μεταξύ των πρώτων που διεξήχθησαν σε βάθος αναλύω NotDoor. Η βαθιά κατάδυσή τους αποκάλυψε κωδικοποιημένες εντολές PowerShell που κυκλοφόρησαν από το OneDrive.exe και πώς το κακόβουλο λογισμικό δημιουργεί αθόρυβα καταλόγους TEMP για τεχνουργήματα που έχουν πέσει.
Ο οδηγός ανίχνευσης από το Splunk βοηθά τους υπερασπιστές να αναγνωρίζουν αδίστακτες διεργασίες που προκαλούν το PowerShell, κλήσεις δικτύου και αλλαγές μητρώου που ενεργοποιούν την αυτόματη φόρτωση μακροεντολών, απενεργοποιούν τα μηνύματα ασφαλείας ή επιτρέπουν όλες τις μακροεντολές χωρίς προειδοποίηση.
Αυτή η έρευνα παρέχει πολύτιμα σχέδια για τη δημιουργία αξιόπιστης ανίχνευσης.
Μακροεντολή του Outlook Persistence and Obfuscation
Μια βασική τεχνική NotDoor περιλαμβάνει την αντιγραφή του φορτωμένου με μακροεντολή αρχείου testtemp.ini στη θέση VBAProject.OTM του Outlook στον κατάλογο Περιαγωγής του χρήστη.
Αυτό το αρχείο περιέχει όλες τις προσαρμοσμένες μακροεντολές αυτοματισμού και χειρισμού email για το Outlook. Υπό κανονικές συνθήκες, μόνο το Outlook θα πρέπει να γράφει εδώ, επομένως οποιαδήποτε εξωτερική διαδικασία (όπως κακόβουλο λογισμικό) είναι εξαιρετικά ύποπτη.
Το macro backdoor ρυθμίζει τις επικοινωνίες C2: μπορεί να λαμβάνει και να εκτελεί εντολές εισβολέα μέσω ενεργοποιήσεων email και να στέλνει αθόρυβα δεδομένα πίσω.
Βασίζεται σε συσκότιση, τυχαία ονόματα μεταβλητών και προσαρμοσμένη κωδικοποίηση για να ξεπεράσει τις απλές σαρώσεις. Οι ερευνητές του Splunk επεσήμαναν τις τροποποιήσεις μητρώου ως καθοριστικής σημασίας για την επιμονή.
Το κακόβουλο λογισμικό αλλάζει τις ρυθμίσεις για να φορτώσει αυτόματα την κακόβουλη μακροεντολή κατά την εκκίνηση (LoadMacroProviderOnBoot) και μειώνει το επίπεδο ασφάλειας μακροεντολών του Outlook για να επιτρέψει σε όλες τις μακροεντολές να εκτελούνται, καταστέλλοντας τα παράθυρα διαλόγου ασφαλείας.
Το ακόλουθο απόσπασμα κώδικα δείχνει μια κοινή αναζήτηση εντοπισμού Splunk για αλλαγές μητρώου:-
tstats security_contents_summaries_only count FROM datamodelEndpoint.Registry WHERE Registry.registrypath=HKCU\\Software\\Microsoft\\Office\\Outlook\\Security\\LoadMacroProviderOnBoot Registry.registryvaluedata=0x00000001.webp.jpeg)
Οι Defenders μπορούν να ακολουθήσουν αυτά τα μοντέλα ανίχνευσης Splunk για να εντοπίσουν κακόβουλο λογισμικό NotDoor, παρακολουθώντας συμβάντα αρχείων μακροεντολών και τροποποιήσεις μητρώου που σηματοδοτούν μόλυνση και επιμονή.
