安全預警: PowerPoint被用作攻擊媒介來下載惡意軟體
根據趨勢科技的最新跟蹤分析,近日網路犯罪分子通過微軟PowerPoint利用Windows對象鏈接嵌入(OLE)界面中的一個漏洞來安裝惡意軟體(由趨勢科技檢測為TROJ_CVE20170199.JVU)。該介面通常被惡意RTF文件(RTF)文件利用,比如,今年早些時候發現的DRIDEX銀行木馬就是使用的該方法。而本次的攻擊從包含附件的網路釣魚電子郵件中開始,惡意軟體偽裝成PPSX文件。這是一種僅允許播放幻燈片的PowerPoint文件,不可編輯。開始感染主機後,惡意代碼會通過PowerPoint動畫而運行。
攻擊過程分析
TROJ_CVE20170199.JVU的感染流程
本次攻擊從包含附件的網路釣魚電子郵件中開始,攻擊者可以將遠程訪問工具作為其最終的有效載荷。據觀察,攻擊的主要對象是電子製造業的公司。
電子郵件樣本的內容如下所示:
雖然電子郵件本身提及有關訂單請求的內容,但是接收此電子郵件的用戶將無法查找附加的業務文檔,而是點擊PPSM文件時顯示以下內容:
利用CVE-2017-0199的PPSX文件的屏幕截圖
當惡意PowerPoint演示文件被打開時,它顯示文本CVE-2017-8570,這是Office的另外一個漏洞。然而,根據趨勢科技的分析,該漏洞其實是CVE-2017-0199。
被惡意代碼感染的文件在ppt/slides/_rels/slide1[.]xml[.]rels中觸髮腳本標記,漏洞利用遠程代碼運行在hxxp://192[.]166[.]218[.]230:3550/logo[.]doc,這是被攻擊者濫用的VPN或託管服務。
嵌入在ppt/slides/_rels/slide1[.]xml[.]rels中的遠程惡意代碼的有效內容鏈接
趨勢科技的研究人員在實驗環境中運行,被感染的PowerPoint在初始化腳本標記後,會並通過PowerPoint動畫功能運行遠程惡意有效載荷。
從下圖可以看出,在成功利用漏洞之後,它將從網上下載文件logo.doc(由趨勢科技檢測為JS_DLOADER.AUSYVT)。
成功下載logo.doc文件
logo.doc不是doc文件,該文檔實際上是一個具有JavaScript代碼的XML文件,它運行PowerShell命令來下載並執行稱為RATMAN.EXE的文件(趨勢科技檢測為http://BKDR_RESCOMS.CA),該執行文件實際上是Command&Control(C&C)伺服器的REMCOS遠程訪問工具的木馬版本:hxxp://192[.]166[.]218[.]230:3550/ratman[.]exe,位於波蘭。 192[.]166[.]218[.]230地址同時也被託管其他種類的RAT。 然後,RATMAN.EXE連接到C&C伺服器 5[.]134[.]116[.]146:3550 進行執行。
Ratman.EXE其實是REMCOS遠程訪問木馬
其實,REMCOS遠程訪問木馬剛開始是一種合法和可定製的遠程訪問工具,可讓用戶從世界任何地方控制系統。一旦執行了REMCOS,網路犯罪分子就能夠在用戶的系統上運行遠程命令。該工具的功能可以在下圖中的「控制面板」屏幕中看到。該工具的功能非常全面,包括下載和執行命令,鍵盤記錄器,屏幕記錄器和攝像頭和麥克風的錄像機。
雖然REMCOS構建器通常只包括使用UPX和MPRESS的壓縮,但是研究人員獲取的木馬樣本使用了一個未知的.NET保護器,其中包含多個保護和混淆,使研究人員更難以進行分析。
樣本的混淆代碼
下圖中未解壓的示例中的字元串顯示了由它構建的REMCOS客戶端的版本。
REMCOS使用加密通信,包括用於其認證和網路流量加密的硬編碼密碼。因此,為了使RATMAN.EXE與其客戶端進行通信,必須相應地設置埠和密碼。
最終,由於CVE-2017-0199的檢測方法專註於RTF文件,因此使用PPSX 格式允許攻擊者逃避防病毒檢測。但是,趨勢科技確實注意到,微軟已經在4月份通過最新安全補丁解決了這個漏洞。
緩解方案
有本文的分析可以看出,用戶在打開文件或點擊郵件中的鏈接時要格外謹慎,即使它們的來源是通過正規渠道。網路釣魚的攻擊防不勝防,如本文所示,利用PPT可能會欺騙大多數用戶下載惡意文件。除此之外,用戶還應該始終使用最新的安全更新。
CVE-2017-0199是Office系列辦公軟體中的一個邏輯漏洞,和常規的內存破壞型漏洞不同,這類漏洞無需複雜的利用手法,直接就可以在office文檔中運行任意的惡意腳本,使用起來穩定可靠。微軟在今年4月安全更新中對CVE-2017-0199漏洞進行了修復,但安全補丁的修復及防禦仍然可以繞過,在7月微軟的安全更新中又修復了同樣類型的新漏洞CVE-2017-8570。
本文翻譯自:http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-0199-new-malware-abuses-powerpoint-slide-show/ ,如若轉載,請註明來源於嘶吼: http://www.4hou.com/vulnerable/7277.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※Let's Encrypt 向 PayPal 釣魚網站簽發了近 1.5 萬個證書
※如何看待搜狗輸入法發布的「全民打字日報」?
※美國新法律《41號修訂案》有效遏制網路犯罪。