1、概述

近日，安天CERT通过网络安全监测发现了一起恶意文档释放Python编写的远控木马事件。通过文档内容中涉及的组织信息和其中攻击者设置的诱导提示，安天CERT判断该事件是一起针对阿塞拜疆共和国国家石油公司进行的定向攻击活动。此次事件中，攻击者充分利用技术实现规避反病毒软件查杀，具体为利用了隐写术将远控木马相关文件以压缩包格式存储于恶意文档里的图片中以备后期提取利用。首先将该恶意文档另存为docx文件，该文件格式具备ZIP文件的特性，然后另存为ZIP格式进行解压并获取其中的图片，最后提取图片中的远控木马文件。此远控木马采用Python语言编写，具备一般远控的上传、下载和命令执行等功能。

2、事件对应的ATT&CK映射图谱

本报告中涉及事件为攻击者针对目标系统投放恶意文档，释放并运行远控木马。通过梳理该事件对应的ATT&CK映射图谱，揭示攻击者在该事件中使用的技术点，如下图所示：

具体的ATT&CK技术行为描述如下表所示：

表 2-1 事件对应的ATT&CK技术行为描述表

3、样本分析

3.1 样本标签

表3-1 样本标签

3.2 样本运行流程

当恶意文档中的宏代码运行后，存在两个自动执行函数，在不同状态下触发执行。一个是当文档状态处于打开时触发执行，通过创建目录、拷贝、另存ZIP格式、解压等操作获取嵌入图片中的Python编写的远控木马；另一个是当文档状态处于关闭时执行，调用shell以隐藏窗口的方式执行bat远控启动脚本，进而运行远控木马脚本，该脚本主要功能为释放vbs脚本文件（内容为调用bat远控启动脚本），并以该脚本为载体创建计划任务，同时建立循环加载配置文件与C2建立连接，获取指令，执行对应操作。

3.3 恶意文档分析

样本为一个具有恶意宏代码的Word文档，从内容上看，是以SOCAR公司的名义伪造的一份“关于分析用催化剂的出口”的文档，同时利用模糊效果和提示信息的手段，诱骗目标通过点击“启动宏”按钮的方式可查看文档详细内容。SOCAR是阿塞拜疆共和国国家石油公司的简称，结合文档内容，判断这是一起针对阿塞拜疆共和国国家石油公司员工的恶意文档投递活动。

通过提取文档中的宏代码分析，主要有两个触发操作的函数“Document_Open()”和“Document_Close()”，同时该宏代码存在大量混淆，具体是将“rqxjx”、“RXQYE”、“_RXQYE_20210329_092748_rqxjx_”字符大量嵌入到自定义变量和函数中，能够在一定程度上规避反病毒软件和干扰分析工作。

解混淆后，从Document_Open()函数中可以看到其中定义了一些文件路径变量，通过MyFunc23函数解密相关路径，依据这些变量创建相应目录和文件，同时提取恶意文档中利用隐写术保存于图片中的远控木马相关文件。

表3-2变量信息

Document_Close函数功能为以隐藏方式运行远控木马启动脚本，脚本文件即为“C:\Users\MA\AppData\Roaming\nettools48\”目录下的runner.bat文件。该脚本文件初始设置了一定时间的延迟，而后运行当前文件夹下的远控木马脚本“vabsheche.py”。

脚本内容如下：

远控木马脚本内容主要分为三部分：

3.4 释放的远控木马分析

第一部分定义了多个系统判断函数，包括Windows、Linux和Mac OS X，同时读取C2地址配置文件，获取对应域名和端口。从系统判断函数上看，虽然本次发现的脚本中只调用了Windows系统判断函数，且后续内容只能在Windows系统上执行，但是不排除攻击者后期会开发针对Linux和Mac OS X系统的脚本。

第二部分定义一个task_registration函数，主要功能为将启动脚本runner.bat的路径写入vbs脚本中，实现vbs脚本调用运行远控，而vbs的调用，是通过调用schtasks命令创建计划任务，实现每三十分钟运行一次vbs脚本。最后以Windows系统判断函数运行结果来触发task_registration函数。

最后一部分功能是C2命令处理过程，具体如下：通过同目录下的证书文件“cert.pem”结合前期获取的域名和端口，同C2建立连接，获取C2返回信息。

在整体代码上添加了循环和容错处理，如果连接成功，则解析C2返回的信息，依据特定数据，执行不同的指令操作；连接失败，则延迟120秒，继续尝试连接C2，持续运行此过程。远控木马C2地址：pook.mywire.org 端口：220。

表3-3 远控木马指令表

4、总结

由于该远控木马是用Python编写，对应文件具备脚本文件特性，其实质文件格式为文本文件，相较于PE文件，这种文件格式在一定程度上能够降低被反病毒软件查杀的可能性，同时结合远控木马VT检测结果，安天CERT认为这种脚本形式的远控木马将会更加频繁的被攻击者使用，甚至结合混淆编码进行使用。