Office漏洞在野利用后門(mén)遠(yuǎn)控分析報(bào)告
2019-01-16?來(lái)源:安全資訊
樣本信息 樣本名稱(chēng): CVE-2017-0199.Exploit。 CVE-2017-11882.exploit。 Trojan.Backdoor 樣本家族: Backdoor 樣本類(lèi)型: 漏洞利用、后門(mén)。 MD 5 : 1a3ff39c7abf2477c08e62a408b764c2。 2172ef749af3afe263cf17395913175b。
樣本信息
樣本名稱(chēng):CVE-2017-0199.Exploit。CVE-2017-11882.exploit。
Trojan.Backdoor
樣本家族:Backdoor
樣本類(lèi)型:漏洞利用、后門(mén)。
MD5: 1a3ff39c7abf2477c08e62a408b764c2。
2172ef749af3afe263cf17395913175b。
99226105ebf33383401bf0fedc3cd117。
b9a4b376b91c22ac3a64a3e6be4d2aec。
SHA1: f91ca114792b05ecc1fb10f260d2fa8ba857a555。
0b34a3b882638b4497eba6a5a28c67aa7096cfe5。
bb8c0297ccbb3d5185f8d7ff7ab3ddb43452ed7d。
d8432923d549c755e4901aea38951c8f8b1264da。
文件類(lèi)型:doc,doc,msi,exe
文件大小:172.32 KB,261.13 KB,704 KB,680 KB。
傳播途徑:釣魚(yú)郵件。
專(zhuān)殺信息:暫無(wú)
影響系統(tǒng):影響office 2007 – 2016所有版本。
樣本來(lái)源:互聯(lián)網(wǎng)
發(fā)現(xiàn)時(shí)間:2019.1
入庫(kù)時(shí)間:
C2服務(wù)器: 76.72.173.69。
Stomnsco.com。
樣本概況
該word樣本(cve-2017-0199.exploit)利用cve-2017-0199漏洞,企圖在word文檔打開(kāi)時(shí)就從遠(yuǎn)程服務(wù)器下載surb.doc(cve-2017-11882.exploit),surb.doc利用office中的公式編輯器漏洞去遠(yuǎn)程下載并運(yùn)行surb.msi。在msiexec運(yùn)行surb.msi時(shí),又會(huì)釋放最后一個(gè)內(nèi)嵌的惡意文件,正是這個(gè)最后釋放的惡意文件(trojan.backdoor)執(zhí)行進(jìn)程注入、hook函數(shù)、收集信息、遠(yuǎn)程控制等核心功能。
樣本危害
該木馬可以根據(jù)從服務(wù)端接收的命令可以隨時(shí)選擇執(zhí)行獲取上傳用戶(hù)電腦的瀏覽器上網(wǎng)代理設(shè)置和安裝軟件列表信息、本地磁盤(pán)列表及類(lèi)型等信息,并且可以下載,執(zhí)行一條命令,做到完全控制用戶(hù)電腦。能夠竊取用戶(hù)電腦上的信息,更新木馬文件,下載執(zhí)行更多的惡意文件,極大的危害用戶(hù)的系統(tǒng)安全和信息安全。漏洞補(bǔ)丁信息
Office 2007kb2526086
kb2526086
kb3141529
Office 2010
kb2687455
kb3141529
Office 2016
kb3178703
Cve-2017-11882
Office 2007 (KB4011604)
Office 2010 (KB4011618)
Office 2013 (KB3162047)
Office 2016 (KB4011262)
應(yīng)對(duì)措施及建議
該樣本以及所依賴(lài)的其他惡意組件都利用了往年比較熱門(mén)的office漏洞,所以建議用戶(hù)及時(shí)更新操作系統(tǒng)以及office補(bǔ)丁。該樣本最終釋放的是個(gè)后門(mén)病毒,有較強(qiáng)的隱蔽性。建議用戶(hù)開(kāi)啟殺毒軟件的主動(dòng)防御和文件監(jiān)控功能,并且開(kāi)啟防火墻。
不要隨意打開(kāi)陌生人發(fā)送過(guò)來(lái)的郵件,及時(shí)掃描郵件中的附件。
行為概述
文件行為
C:\Users\vbccsb\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRD0000.doc。。C:\Users\vbccsb\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRD0001.doc。
進(jìn)程行為
啟動(dòng)cmd和msiexec創(chuàng)建并執(zhí)行MSIDE71.tmp
注冊(cè)表行為
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run網(wǎng)絡(luò)行為
1). 嘗試下載http://stomnsco.com/cgi/surb.doc。2). 嘗試下載http://stomnsco.com/cgi/surb.msi。
3). 嘗試與104.27.190.196通信。
詳細(xì)分析報(bào)告
利用該漏洞的一種典型的攻擊場(chǎng)景為:攻擊者將CVE-2017-0199漏洞的RTF文件作為一個(gè)源嵌入到了Docx格式的文檔中,docx文件在打開(kāi)時(shí)是自動(dòng)去遠(yuǎn)程獲取包含0199漏洞的rtf文件,再觸發(fā)后面的漏洞利用代碼,這樣的攻擊增加了安全軟件的查殺難度。原始文件為一個(gè)docx格式的文檔,在該文檔中嵌入了黑客遠(yuǎn)程服務(wù)器上的一個(gè)文檔,從下圖可以看到鏈接到MsOffice.doc地址。
惡意文件包含著一個(gè)vbscript腳本,腳本內(nèi)容如下:
主要意圖仍然是從遠(yuǎn)程服務(wù)器上繼續(xù)下載其他的惡意組件。
此漏洞的成因主要是word在處理內(nèi)嵌OLE2LINK對(duì)象時(shí),通過(guò)網(wǎng)絡(luò)更新對(duì)象時(shí)沒(méi)有正確處理的Content-Type所導(dǎo)致的一個(gè)邏輯漏洞。由于邏輯漏洞的成因,就導(dǎo)致利用該漏洞時(shí)不需要繞過(guò)微軟采用的一系列諸如ASLR、DEP之類(lèi)的漏洞緩解措施,因此成功率非常高。
1). office中的某組件從遠(yuǎn)程上下載其他惡意文件。
從抓包分析來(lái)看,該樣本所連接的服務(wù)器已無(wú)法正常訪問(wèn)。
從抓到的包數(shù)據(jù)中看出,該word樣本的意圖的確是想從遠(yuǎn)程服務(wù)器上下載另外的惡意文檔surb.doc。
Surb.doc是利用cve-2017-11882的文件
由于默認(rèn)狀態(tài)下Office文檔中的OLE Object需要用戶(hù)雙擊才能生效。與CVE-2017-0199一樣,需要設(shè)置OLE Object的屬性為自動(dòng)更新,這樣無(wú)需交互,點(diǎn)擊打開(kāi)文檔后惡意代碼就可以執(zhí)行。
在Office文檔中插入或編輯公式時(shí),Office進(jìn)程(如winword.exe,excel.exe)會(huì)通過(guò)RPC啟動(dòng)一個(gè)獨(dú)立的eqnedt32.exe進(jìn)程來(lái)完成公式的解析和編輯等需求。Microsoft Office 2007及之后的版本已經(jīng)用內(nèi)置的公式編輯工具替代了EQNEDT32.exe,但為了保證對(duì)老版本的兼容,所有MicrosoftOffice和Office365仍支持EQNEDT32.exe編輯的公式。
通過(guò)IDA看到漏洞發(fā)生的位置如下圖,其中參數(shù)a1的內(nèi)容來(lái)自于“Equation Native”流,該流的數(shù)據(jù)由文檔提供,正常情況下,流里面的數(shù)據(jù)代表一個(gè)MathType的公式。
溢出時(shí),將返回地址覆蓋成了0x00630C12,對(duì)應(yīng)著ole對(duì)象中的數(shù)據(jù)如下:
隨后在_strupr函數(shù)中,字符串內(nèi)容被轉(zhuǎn)換,返回地址被修改為:0x00430C12。
Eqnedt32模塊中大量使用了strcpy,沒(méi)有對(duì)長(zhǎng)度進(jìn)行校驗(yàn):
而在解析“Equation Native”流的Font Name數(shù)據(jù)時(shí),在上面的拷貝過(guò)程中沒(méi)有對(duì)FontName的長(zhǎng)度做校驗(yàn),導(dǎo)致了棧溢出,最終使用精心構(gòu)造的數(shù)據(jù)覆蓋函數(shù)的返回地址,達(dá)到劫持程序執(zhí)行流程的目的。
文件被打開(kāi)時(shí),又會(huì)從遠(yuǎn)程服務(wù)器上下載surb.msi并靜默執(zhí)行。
Msi文件會(huì)釋放出formbook類(lèi)型的惡意軟件。
樣本運(yùn)行后首先以?huà)炱馉顟B(tài)創(chuàng)建一個(gè)新的自身進(jìn)程,之后解密出真正的惡意代碼,再使用ZwWriteVirtualMemory將惡意代碼寫(xiě)入到剛創(chuàng)建的傀儡進(jìn)程中,最后啟動(dòng)傀儡進(jìn)程執(zhí)行惡意代碼。傀儡進(jìn)程首先遍歷進(jìn)程列表查找Explorer.exe,并使用NtMapViewOfSection向Explorer.exe注入ShellCode。
Explorer中注入的ShellCode會(huì)在%systemroot%\system32下隨機(jī)選取一個(gè)exe文件再次以傀儡進(jìn)程的方式注入ShellCode,新的傀儡進(jìn)程會(huì)刪除原始病毒樣本,并重新向Explorer.exe注入ShellCode,該ShellCode 為最終的執(zhí)行的惡意代碼。之后惡意代碼會(huì)連接C&C服務(wù)器,以Get方式發(fā)送連接請(qǐng)求:
hook函數(shù)鍵盤(pán)記錄或文本監(jiān)控:GetMessageA、GetMessageW、PeekMessageA、PeekMessageW、SendMessageA、SendMessageW。
瀏覽器函數(shù):HttpSendRequestA、HttpSendRequestW、InternetQueryOptionW、EncryptMessage、WSASend。
瀏覽器的hook函數(shù)會(huì)在HTTP請(qǐng)求的內(nèi)容中查找某些字符串,如果找到匹配字符串,則提取有關(guān)請(qǐng)求的信息,目標(biāo)字符串如下:pass、token、email、login、signin、account、persistent。
通過(guò)判斷C&C指令以及特殊的“FBNG”字符串標(biāo)志來(lái)執(zhí)行對(duì)應(yīng)的木馬功能。
由于遠(yuǎn)程服務(wù)器截止目前無(wú)法正常訪問(wèn),所以不能動(dòng)態(tài)地截取發(fā)包和收包過(guò)程。
樣本溯源分析
總結(jié)
Office軟件屬于最常見(jiàn)的軟件了,幾乎所有的企業(yè)內(nèi)部的計(jì)算機(jī)都會(huì)有office套裝。該樣本也正是利用了2017年office漏洞中影響較廣、漏洞利用手段和技巧也非常成熟的cve-2017-0199和cve-2017-11882 兩個(gè)漏洞連續(xù)地從黑客遠(yuǎn)程服務(wù)器上下載并運(yùn)行其他的惡意軟件,最終在計(jì)算機(jī)上留下后門(mén),對(duì)數(shù)據(jù)安全造成極大的威脅。附錄
Hash
C&C
76.72.173.69stomnsco.com
