|
导语:根据Canthink网络安全攻防实验室的一份报告分析,2017年1至6月,CVE-2017-0199漏洞利用占比70%,位列第一位。该漏洞以RTF文档为载体,伪装性非常强,依然是最为常用的漏洞攻击手段。
近日网络犯罪分子通过微软PowerPoint利用Win对象链接嵌入(OLE)界面中的一个漏洞来安装恶意软件(由趋势科技检测为TROJ_CVE20170199.JVU)。该接口通常被恶意RTF文件(RTF)文件利用,比如,今年早些时候发现的DRIDEX银行木马就是运用的该方式。而本次的攻击从包含附件的网络钓鱼电子邮件中开始,恶意软件伪装成PPSX文件。这是一种仅允许播放幻灯片的PowerPoint文件,不可编辑。开始感染主机后,恶意代码会通过PowerPoint动画而运行。 攻击过程分析
TROJ_CVE20170199.JVU的感染流程 本次攻击从包含附件的网络钓鱼电子邮件中开始,攻击者可以将远程访问工具作为其最终的有效载荷。据观察,攻击的主要对象是电子制造业的公司。 电子邮件样本的内容如下所示:
利用CVE-2017-0199的PPSX文件的屏幕截图 当恶意PowerPoint演示文件被打开时,它显示文本CVE-2017-8570,这是Office的另外一个漏洞。然而,根据趋势科技的分析,该漏洞其实是CVE-2017-0199。 被恶意代码感染的文件在ppt/slides/_rels/slide1[.]xml[.]rels中触发脚本标记,漏洞利用远程代码运行在hxxp://192[.]166[.]218[.]230:3550/logo[.]doc,这是被攻击者滥用的VPN或托管服务。
嵌入在ppt/slides/_rels/slide1[.]xml[.]rels中的远程恶意代码的有效内容链接 趋势科技的研究人员在实验环境中运行,被感染的PowerPoint在初始化脚本标记后,会并通过PowerPoint动画功能运行远程恶意有效载荷。 从下图可以看出,在成功利用漏洞之后,它将从网上下载文件logo.doc(由趋势科技检测为JS_DLOADER.AUSYVT)。
成功下载logo.doc文件
hxxp://192[.]166[.]218[.]230:3550/ratman[.]exe,位于波兰。 192[.]166[.]218[.]230地址同时也被托管其他种类的RAT。 然后,RATMAN.EXE连接到C&C服务器 5[.]134[.]116[.]146:3550 进行执行。 Ratman.EXE其实是REMCOS远程访问木马 其实,REMCOS远程访问木马刚开始是一种合法和可定制的远程访问工具,可让用户从世界任何地方控制系统。一旦执行了REMCOS,网络犯罪分子就能够在用户的系统上运行远程命令。该工具的功能可以在下图中的“控制面板”屏幕中看到。该工具的功能非常全面,包括下载和执行命令,键盘记录器,屏幕记录器和摄像头和麦克风的录像机。
样本的混淆代码 下图中未解压的示例中的字符串显示了由它构建的REMCOS客户端的版本。
缓解方案 有本文的分析可以看出,用户在打开文件或点击邮件中的链接时要格外谨慎,即使它们的来源是通过正规渠道。网络钓鱼的攻击防不胜防,如本文所示,利用PPT可能会欺骗大多数用户下载恶意文件。除此之外,用户还应该始终运用最新的安全更新。 CVE-2017-0199是Office系列办公软件中的一个逻辑漏洞,和常规的内存破坏型漏洞不同,这类漏洞无需复杂的利用手法,直接就可以在office文档中运行任意的恶意脚本,运用起来稳定可靠。微软在今年4月安全更新中对CVE-2017-0199漏洞进行了修复,但安全补丁的修复及防御依旧可以绕过,在7月微软的安全更新中又修复了同样类型的新漏洞CVE-2017-8570。 |
