• 樱桃-热门标签-华商生活 2019-05-15
  • 足协重罚王燊超:通报批评 禁止入选国家队1年 2019-05-15
  • 北大“寻真”展:半部中国考古史 2019-04-30
  • 南昌PM2.5浓度写进目标责任书 切实防治大气污染 2019-04-17
  • 我国社会组织正成为全球治理体系中的新生力量 2019-04-12
  • 骞垮窞甯傜綉缁滃晢鍝佷氦鏄撲笌鏈嶅姟鐩戠骞冲彴 2019-04-06
  • 【大考2018】新安晚报爱心送考车出发 2019-04-06
  • 烽火中国—光明日报、光明网纪念抗战胜利70周年特别策划 2019-04-04
  • 想家了!红红火火迎新年 青城呼和浩特年味十足 2019-03-18
  • 打造-热门标签-华商生活 2018-12-23
  • 习近平:切实把新发展理念落到实处 不断增强经济社会发展创新力 2018-12-23
  • 法中委员会秘书长:法中两国将在创新合作中碰撞出火花 2018-12-02
  • 【中国梦·大国工匠篇】“景德镇拉坯第一人”占绍林:手艺“满意”前谢绝资本加入 2018-11-25
  • 最新病毒库日期:
    • Office漏洞在野利用后门远控分析报告
    2019-01-16 14:59 来源:未知
    【文章摘要】样本信息 样本名称: CVE-2017-0199.Exploit。 CVE-2017-11882.exploit。 Trojan.Backdoor 样本家族: Backdoor 样本类型: 漏洞利用、后门。 MD 5 : 1a3ff39c7abf2477c08e62a408b764c2。 2172ef749af3afe263cf17395913175b。

    app下载: 样本信息

    样本名称:CVE-2017-0199.Exploit。
    CVE-2017-11882.exploit。
    Trojan.Backdoor
    样本家族:Backdoor
    样本类型:漏洞利用、后门。
    MD5 1a3ff39c7abf2477c08e62a408b764c2。
    2172ef749af3afe263cf17395913175b。
    99226105ebf33383401bf0fedc3cd117。
    b9a4b376b91c22ac3a64a3e6be4d2aec。
    SHA1: f91ca114792b05ecc1fb10f260d2fa8ba857a555。
    0b34a3b882638b4497eba6a5a28c67aa7096cfe5。
    bb8c0297ccbb3d5185f8d7ff7ab3ddb43452ed7d。
    d8432923d549c755e4901aea38951c8f8b1264da。
    文件类型:doc,doc,msi,exe
    文件大?。?/strong>172.32 KB,261.13 KB,704 KB,680 KB。
    传播途径:钓鱼邮件。
    专杀信息:暂无
    影响系统:影响office 2007 – 2016所有版本。
    样本来源:互联网
    发现时间:2019.1
    入库时间:
    C2服务器: 76.72.173.69。
     Stomnsco.com。
     

    样本概况

    该word样本(cve-2017-0199.exploit)利用cve-2017-0199漏洞,企图在word文档打开时就从远程服务器下载surb.doc(cve-2017-11882.exploit),surb.doc利用office中的公式编辑器漏洞去远程下载并运行surb.msi。
    在msiexec运行surb.msi时,又会释放最后一个内嵌的恶意文件,正是这个最后释放的恶意文件(trojan.backdoor)执行进程注入、hook函数、收集信息、远程控制等核心功能。
     

    样本危害

    该木马可以根据从服务端接收的命令可以随时选择执行获取上传用户电脑的浏览器上网代理设置和安装软件列表信息、本地磁盘列表及类型等信息,并且可以下载,执行一条命令,做到完全控制用户电脑。能够窃取用户电脑上的信息,更新木马文件,下载执行更多的恶意文件,极大的危害用户的系统安全和信息安全。

    漏洞补丁信息

    Office 2007
    kb2526086
    kb2526086
    kb3141529
     
    Office 2010
    kb2687455
    kb3141529
     
    Office 2016
    kb3178703
     
    Cve-2017-11882
    Office 2007 (KB4011604)
    Office 2010 (KB4011618)
    Office 2013 (KB3162047)
    Office 2016 (KB4011262)

    应对措施及建议

    该样本以及所依赖的其他恶意组件都利用了往年比较热门的office漏洞,所以建议用户及时更新操作系统以及office补丁。
    该样本最终释放的是个后门病毒,有较强的隐蔽性。建议用户开启杀毒软件的主动防御和文件监控功能,并且开启防火墙。
    不要随意打开陌生人发送过来的邮件,及时扫描邮件中的附件。

    行为概述

    文件行为

    C:\Users\vbccsb\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRD0000.doc。。
    C:\Users\vbccsb\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRD0001.doc。

    进程行为

    启动cmd和msiexec
    创建并执行MSIDE71.tmp

    注册表行为

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    网络行为

    1). 尝试下载//stomnsco.com/cgi/surb.doc。
    2). 尝试下载//stomnsco.com/cgi/surb.msi。
    3). 尝试与104.27.190.196通信。

    详细分析报告

    利用该漏洞的一种典型的攻击场景为:攻击者将CVE-2017-0199漏洞的RTF文件作为一个源嵌入到了Docx格式的文档中,docx文件在打开时是自动去远程获取包含0199漏洞的rtf文件,再触发后面的漏洞利用代码,这样的攻击增加了安全软件的查杀难度。
    原始文件为一个docx格式的文档,在该文档中嵌入了黑客远程服务器上的一个文档,从下图可以看到链接到MsOffice.doc地址。
     
     
    恶意文件包含着一个vbscript脚本,脚本内容如下:
    主要意图仍然是从远程服务器上继续下载其他的恶意组件。
     
     
    此漏洞的成因主要是word在处理内嵌OLE2LINK对象时,通过网络更新对象时没有正确处理的Content-Type所导致的一个逻辑漏洞。由于逻辑漏洞的成因,就导致利用该漏洞时不需要绕过微软采用的一系列诸如ASLR、DEP之类的漏洞缓解措施,因此成功率非常高。
     
     
    1). office中的某组件从远程上下载其他恶意文件。
     
     
    从抓包分析来看,该样本所连接的服务器已无法正常访问。
     
     
    从抓到的包数据中看出,该word样本的意图的确是想从远程服务器上下载另外的恶意文档surb.doc。
    Surb.doc是利用cve-2017-11882的文件
     
     
    由于默认状态下Office文档中的OLE Object需要用户双击才能生效。与CVE-2017-0199一样,需要设置OLE Object的属性为自动更新,这样无需交互,点击打开文档后恶意代码就可以执行。
     
     
    在Office文档中插入或编辑公式时,Office进程(如winword.exe,excel.exe)会通过RPC启动一个独立的eqnedt32.exe进程来完成公式的解析和编辑等需求。Microsoft Office 2007及之后的版本已经用内置的公式编辑工具替代了EQNEDT32.exe,但为了保证对老版本的兼容,所有MicrosoftOffice和Office365仍支持EQNEDT32.exe编辑的公式。
    通过IDA看到漏洞发生的位置如下图,其中参数a1的内容来自于“Equation Native”流,该流的数据由文档提供,正常情况下,流里面的数据代表一个MathType的公式。
     
     
     
    溢出时,将返回地址覆盖成了0x00630C12,对应着ole对象中的数据如下:
     
     
    随后在_strupr函数中,字符串内容被转换,返回地址被修改为:0x00430C12。
     
     
    Eqnedt32??橹写罅渴褂昧藄trcpy,没有对长度进行校验:

    而在解析“Equation Native”流的Font Name数据时,在上面的拷贝过程中没有对FontName的长度做校验,导致了栈溢出,最终使用精心构造的数据覆盖函数的返回地址,达到劫持程序执行流程的目的。
     
    文件被打开时,又会从远程服务器上下载surb.msi并静默执行。
     
     
     
    Msi文件会释放出formbook类型的恶意软件。
     
     
    样本运行后首先以挂起状态创建一个新的自身进程,之后解密出真正的恶意代码,再使用ZwWriteVirtualMemory将恶意代码写入到刚创建的傀儡进程中,最后启动傀儡进程执行恶意代码??芙淌紫缺槔塘斜聿檎褽xplorer.exe,并使用NtMapViewOfSection向Explorer.exe注入ShellCode。
     
     
    Explorer中注入的ShellCode会在%systemroot%\system32下随机选取一个exe文件再次以傀儡进程的方式注入ShellCode,新的傀儡进程会删除原始病毒样本,并重新向Explorer.exe注入ShellCode,该ShellCode 为最终的执行的恶意代码。之后恶意代码会连接C&C服务器,以Get方式发送连接请求:
     
     
    hook函数键盘记录或文本监控:GetMessageA、GetMessageW、PeekMessageA、PeekMessageW、SendMessageA、SendMessageW。
    浏览器函数:HttpSendRequestA、HttpSendRequestW、InternetQueryOptionW、EncryptMessage、WSASend。
    浏览器的hook函数会在HTTP请求的内容中查找某些字符串,如果找到匹配字符串,则提取有关请求的信息,目标字符串如下:pass、token、email、login、signin、account、persistent。
    通过判断C&C指令以及特殊的“FBNG”字符串标志来执行对应的木马功能。
    由于远程服务器截止目前无法正常访问,所以不能动态地截取发包和收包过程。
     

    样本溯源分析

     

    总结

    Office软件属于最常见的软件了,几乎所有的企业内部的计算机都会有office套装。该样本也正是利用了2017年office漏洞中影响较广、漏洞利用手段和技巧也非常成熟的cve-2017-0199和cve-2017-11882 两个漏洞连续地从黑客远程服务器上下载并运行其他的恶意软件,最终在计算机上留下后门,对数据安全造成极大的威胁。

    附录

    Hash

    C&C

    76.72.173.69
    stomnsco.com
  • 樱桃-热门标签-华商生活 2019-05-15
  • 足协重罚王燊超:通报批评 禁止入选国家队1年 2019-05-15
  • 北大“寻真”展:半部中国考古史 2019-04-30
  • 南昌PM2.5浓度写进目标责任书 切实防治大气污染 2019-04-17
  • 我国社会组织正成为全球治理体系中的新生力量 2019-04-12
  • 骞垮窞甯傜綉缁滃晢鍝佷氦鏄撲笌鏈嶅姟鐩戠骞冲彴 2019-04-06
  • 【大考2018】新安晚报爱心送考车出发 2019-04-06
  • 烽火中国—光明日报、光明网纪念抗战胜利70周年特别策划 2019-04-04
  • 想家了!红红火火迎新年 青城呼和浩特年味十足 2019-03-18
  • 打造-热门标签-华商生活 2018-12-23
  • 习近平:切实把新发展理念落到实处 不断增强经济社会发展创新力 2018-12-23
  • 法中委员会秘书长:法中两国将在创新合作中碰撞出火花 2018-12-02
  • 【中国梦·大国工匠篇】“景德镇拉坯第一人”占绍林:手艺“满意”前谢绝资本加入 2018-11-25
  • 新时时彩五星走势 福彩3d预测分析 江西11选5走势图 体育彩票7星彩12117期 北京赛车直播 白小姐印刷图库 靠谱的河北时时彩官网 北京pk10如何看走势 幸运赛车开奖 时时彩玩法介绍 七星彩规律图 彩票中奖喜报怎么写 2018027双色球开奖 足彩进球彩分析 排列5预测最准十专家 彩经网走势图大全新版