FortiGuard安全实验室在近日发表一篇博文中指出，他们发现了一份带有强烈政治主题的恶意文档，文件名称为“Draft PH-US Dialogue on Cyber Security.doc（大致翻译为：美菲网络安全对话草案.doc）”。这份文档旨在利用一个通杀Office 2003到2016所有版本的远程代码执行漏洞——CVE-2017-11882。一旦利用成功，受害者计算机的%temp%文件夹中将会被植入一个恶意软件。

研究人员表示，经过他们的分析，确认这个恶意软件来自一个名为Hussarini（也被称为Sarhust）的后门家族。研究人员进一步描述说，自2014年以来，Hussarini就一直被积极用于针对东盟国家的高级持续性威胁（Advanced Persistent Threat，APT）攻击。

据菲律宾ABS-CBN新闻网的报道，菲律宾是东盟中最容易受到APT攻击的国家。尽管在2016年发生了数起大规模数据泄露事件后，菲律宾就加大了对于网络攻击防御的投资，但是事实证明菲律宾似乎仍没有脱离这种现状。

研究人员解释说，在恶意文档被打开之后，有两个文件（Outllib.dll和OutExtra.exe）被植入到了%temp%文件夹中。OutExtra.exe实质上是一个经微软签名的合法应用程序，原始名称为finder.exe。这个文件是微软Office套件的一部分，可用于在Outlook数据文件中查找关键字。但在这起攻击中，这个文件被用于通过DLL劫持加载Hussarini后门文件（Outllib.dll）。

Outllib.dll是一个能够导出包含恶意代码的函数的DLL，在执行文件OutExtra.exe时，会调用其中一些函数，从而有效地执行恶意代码。恶意代码的目的是获取以下系统信息，并通过HTTP POST请求发送给C＆C服务器：用户名、计算机名、操作系统和CPU信息。

接下来，C＆C服务器会在接收到这些信息之后向Hussarini后门发送两个命令。第一个命令包含字符串“cache.txt”，并创建另外两个文件：cache.txt和  cache.txt.cfg。第二个命令包含一些命令提示符（cmd.exe）的命令。 由C＆C服务器发送的cmd命令随后将写入cache.txt中，具体命令如下：

• ysteminfo：获取计算机的系统信息；
• arp –a：查看IP地址到MAC地址的映射；
• ipconfig /all：显示所有当前的TCP/IP网络配置值；
• netstat -ano ：显示协议统计信息和当前TCP/IP网络连接；
• tasklist -v：用于所有任务运行的应用程序和服务列表及其进程ID（PID）；
• net start：启动正在运行的各种服务；
• net view：显示网络上可见的其他计算机；
• dir “c:users” /o-d：显示所有用户。

通过分析这些代码，研究人员认为这个Hussarini后门能够执行以下来自攻击者的命令：

• 创建、读、写文件；
• 下载并执行文件/组件；
• 使用exe启动远程shell。

由此，我们可以看出Hussarini后门只具备很少的功能，但研究人员表示它的功能可以被攻击者扩展。此外，由于这个后门可以启动远程cmd shell，因此攻击者也可以使用所有cmd命令。

菲律宾于2016年才成立了自己的信息和通信技术委员会（Commission on Information and Communications Technology，CICT），并承认该国针对网络威胁的防御仍处于起步阶段。可能正是由于这种现状，菲律宾才成为了网络犯罪和网络间谍活动的多发地。FortiGuard的研究人员也表示，他们预计针对该国家的网络攻击可能会在数量和质量上持续发展。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com              

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。