新式PPT進犯流程
FortiGuard 實驗室最近發(fā)現(xiàn)了一種新的歹意PPT文件,名為ADVANCED DIPLOMATIC PROTOCOL AND ETIQUETTE SUMMIT.ppsx,閱讀幻燈片能夠發(fā)現(xiàn)該歹意文件針對的目標為聯(lián)合國組織、交際使館、國際組織及與他國政府有交往的人,我們將會剖析此歹意PPT文件會如何操控你的體系,以下是大約的進犯流程。
圖1 進犯流程圖
CVE-2017-0199
進犯使用了CVE-2017-0199縫隙,該縫隙于2017年4月公布并修復,當在微軟Office或WordPad下解析特殊結構的文件時會觸發(fā)長途代碼履行,在微軟Office的OLE接口下成功使用此縫隙的進犯者能夠操控感染的計算機體系,WayneLow[1]很好地剖析過該縫隙。
這現(xiàn)已不是第一次遇到進犯者使用該縫隙了,之前我們見過此縫隙被用在傳播REMCOS RAT歹意軟件的PPT幻燈片中,不過這次進犯差異于基于鼠標移動的PPT文件進犯,使用ppaction://protocol建議PowerShell指令,打開感染的PPT文件時會觸發(fā)ppt/slides/_rels/slide1.xml.rels中的腳本,然后從hxxp://www[.]narrowbabwe[.]net:3345/exp[.]doc下載長途代碼,使用PPT動畫播映特性履行代碼,歹意結構的文件在Target后有很多的空格來逃避YARA檢測(YARA是僅有軟件剖析檢測工具)。
圖2 使用CVE-2017-0199的PPSX文件
觀察文件履行時的網(wǎng)絡流量能夠看到特意結構的文件成功使用了縫隙并下載履行了exp.doc文件,這不是doc文件而是一個包含javascriot代碼的XML文件。
圖3 PPTX文件的網(wǎng)絡流量
UAC繞過提權
從XML文件中提取出JavaScript代碼后能夠看到它會在%Temp%\Microsoft_Office_Patch_KB2817430.jse中寫入一個文件,文件名仿照了微軟Office的補丁名來降低可疑度并試圖展現(xiàn)合法文件的行為,但明顯并非如此。
圖4 嵌入JavaScript代碼的XML文件
此樣本除了使用CVE縫隙外還使用了繞過WindowsUAC安全策略的技能來以高權限履行代碼,更高的權限等同于更多的授權和更多被答應的行為。UAC繞過技能包含綁架HKCU\software\classes\mscfile\shell\open\command中的注冊表并履行eventvwr.exe,你能夠在這里[2]更深化的了解UAC繞過和權限提高相關的技能。
圖5 繞過UAC策略的注冊表添加項
剖析JavaScript
以高權限運行的Microsoft_Office_Patch_KB2817430.jse歹意軟件包含以下代碼:
圖6 Microsoft_Office_Patch_KB2817430.jse文件
在以上代碼中,WMI ActiveScriptConsumers得到了持久使用,創(chuàng)立定時器事件使得腳本每12秒履行一次,運行它的腳本編碼存儲在注釋中。
圖7 解碼后的腳本
從JPG文件中獲取C&C服務器信息
解碼注釋中的代碼后,腳本讀取下列注冊項,如果不存在就創(chuàng)立它們。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Seed0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Feed0
圖8 名為Feed0和Seed0的注冊表向項
寫入到注冊表項中的值經(jīng)過了Microsoft_Office_Patch_KB2817430.jse文件的硬編碼,解碼后值為hxxp://narrowbabwe[.]net/comsary/logo[.]jpg,腳本建議對此URL的懇求,可是不會有任何回應,憑借VirusTotal能夠獲取到/logo.jpg文件。
圖9 篡改的jpg文件
有了/logo.jpg后能夠持續(xù)剖析樣本,jpg文件有一損壞部分,這意味著進犯者篡改了圖片以躲藏一些數(shù)據(jù),躲藏信息/數(shù)據(jù)這是十分有效的技能由于jpg文件一般被認為對錯歹意文件。
圖10 獲取躲藏數(shù)據(jù)的代碼
代碼獲取了Response_Text長度或許文件結尾并截取0x80h長度,作為編碼數(shù)據(jù)的開始部分,if句子比較jpg文件中硬編碼的值為95,2,7的符號。如果不滿足if條件則無返回值,如果匹配到符號,則會從i偏移處獲取44字符長度的substr,作為編碼的URL。圖11 篡改的數(shù)據(jù)
編碼后的URL會被寫入到名為/Seed0的注冊表,解碼后的值為hxxp://www[.]narrowbabwe[.]net/comsary/index[.]php。
圖12 Seed0注冊表項
C&C通訊
下一步經(jīng)過獲取網(wǎng)絡適配器裝備來辨別代碼是否在虛擬環(huán)境中運行并搜索是否存在Virtual值。
圖13 檢查虛擬環(huán)境
有意思的是,要發(fā)送的數(shù)據(jù)取決于是否找到了Virtual字符串,如果沒找到,搜集的數(shù)據(jù)會包含受感染機器的&ipaddr(IP地址)和&macaddr(MAC地址)。
圖14 從感染機器搜集的信息
搜集到需求的信息后進行編碼并使用HTTP POST懇求發(fā)送到hxxp://www[.]narrowbabwe[.]net/comsary/index[.]php
圖15 向C&C建議的HTTP POST懇求
要發(fā)送的數(shù)據(jù)格式如下:
圖16 編碼后要發(fā)送的數(shù)據(jù)
不幸的是,在我們剖析的時候C&C服務器現(xiàn)已下線所以沒收到任何呼應,不過依然能夠從下面的代碼承認C&C的呼應包含經(jīng)過eval()函數(shù)履行的任意指令,這些指令能夠是傳送數(shù)據(jù)的下載函數(shù),最常用的歹意特務軟件是RATs(Remote Access Trojans)。
圖17 指令和成果履行
一旦來自C&C服務器的指令履行完成,會使用下面的HTTP POST懇求字符串格式向服務器發(fā)回一個告訴。
圖18 指令履行成果POST告訴
總結
剖析提醒出,該歹意代碼用到了多重技能手段來躲避檢測并保持有效性,這些技能包含使用CVE-2017-0199、UAC繞過技能、權限提高技能、多層嵌入式編碼腳本、分階段URL連接、嵌入C&C信息到jpg文件等,這展示了進犯者能夠使用他們的歹意文件實現(xiàn)持久進犯。
解決辦法
1、 升級微軟更新的縫隙修復補丁
2、 FortiGuard反病毒服務檢測這種威脅MSOffice/Downloader!exploit.CVE20170199
3、 FortiGuard Web攔截服務能夠阻斷所有C&C和相關URLs
4、 FortiSandbox視PPSX文件為高危級別
IOCs:
8e89ae80ea50110244f2293f14615a7699b1c5d2a70415a676aa4588117ad9a7 – PPSX
CC:
hxxp://www[.]narrowbabwe[.]net/comsary/logo[.]jpg
hxxp://www[.]narrowbabwe[.]net:3345/exp[.]doc
hxxp://www[.]narrowbabwe[.]net/comsary/index[.]php
| 
