Office漏洞在野利用后門遠控分析報告
2019-01-16?來源:安全資訊
樣本信息 樣本名稱: CVE-2017-0199.Exploit。 CVE-2017-11882.exploit。 Trojan.Backdoor 樣本家族: Backdoor 樣本類型: 漏洞利用、后門。 MD 5 : 1a3ff39c7abf2477c08e62a408b764c2。 2172ef749af3afe263cf17395913175b。
樣本信息
樣本名稱:CVE-2017-0199.Exploit。CVE-2017-11882.exploit。
Trojan.Backdoor
樣本家族:Backdoor
樣本類型:漏洞利用、后門。
MD5: 1a3ff39c7abf2477c08e62a408b764c2。
2172ef749af3afe263cf17395913175b。
99226105ebf33383401bf0fedc3cd117。
b9a4b376b91c22ac3a64a3e6be4d2aec。
SHA1: f91ca114792b05ecc1fb10f260d2fa8ba857a555。
0b34a3b882638b4497eba6a5a28c67aa7096cfe5。
bb8c0297ccbb3d5185f8d7ff7ab3ddb43452ed7d。
d8432923d549c755e4901aea38951c8f8b1264da。
文件類型:doc,doc,msi,exe
文件大小:172.32 KB,261.13 KB,704 KB,680 KB。
傳播途徑:釣魚郵件。
專殺信息:暫無
影響系統:影響office 2007 – 2016所有版本。
樣本來源:互聯網
發現時間:2019.1
入庫時間:
C2服務器: 76.72.173.69。
Stomnsco.com。
樣本概況
該word樣本(cve-2017-0199.exploit)利用cve-2017-0199漏洞,企圖在word文檔打開時就從遠程服務器下載surb.doc(cve-2017-11882.exploit),surb.doc利用office中的公式編輯器漏洞去遠程下載并運行surb.msi。在msiexec運行surb.msi時,又會釋放最后一個內嵌的惡意文件,正是這個最后釋放的惡意文件(trojan.backdoor)執行進程注入、hook函數、收集信息、遠程控制等核心功能。
樣本危害
該木馬可以根據從服務端接收的命令可以隨時選擇執行獲取上傳用戶電腦的瀏覽器上網代理設置和安裝軟件列表信息、本地磁盤列表及類型等信息,并且可以下載,執行一條命令,做到完全控制用戶電腦。能夠竊取用戶電腦上的信息,更新木馬文件,下載執行更多的惡意文件,極大的危害用戶的系統安全和信息安全。漏洞補丁信息
Office 2007kb2526086
kb2526086
kb3141529
Office 2010
kb2687455
kb3141529
Office 2016
kb3178703
Cve-2017-11882
Office 2007 (KB4011604)
Office 2010 (KB4011618)
Office 2013 (KB3162047)
Office 2016 (KB4011262)
應對措施及建議
該樣本以及所依賴的其他惡意組件都利用了往年比較熱門的office漏洞,所以建議用戶及時更新操作系統以及office補丁。該樣本最終釋放的是個后門病毒,有較強的隱蔽性。建議用戶開啟殺毒軟件的主動防御和文件監控功能,并且開啟防火墻。
不要隨意打開陌生人發送過來的郵件,及時掃描郵件中的附件。
行為概述
文件行為
C:\Users\vbccsb\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRD0000.doc。。C:\Users\vbccsb\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRD0001.doc。
進程行為
啟動cmd和msiexec創建并執行MSIDE71.tmp
注冊表行為
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run網絡行為
1). 嘗試下載http://stomnsco.com/cgi/surb.doc。2). 嘗試下載http://stomnsco.com/cgi/surb.msi。
3). 嘗試與104.27.190.196通信。
詳細分析報告
利用該漏洞的一種典型的攻擊場景為:攻擊者將CVE-2017-0199漏洞的RTF文件作為一個源嵌入到了Docx格式的文檔中,docx文件在打開時是自動去遠程獲取包含0199漏洞的rtf文件,再觸發后面的漏洞利用代碼,這樣的攻擊增加了安全軟件的查殺難度。原始文件為一個docx格式的文檔,在該文檔中嵌入了黑客遠程服務器上的一個文檔,從下圖可以看到鏈接到MsOffice.doc地址。
惡意文件包含著一個vbscript腳本,腳本內容如下:
主要意圖仍然是從遠程服務器上繼續下載其他的惡意組件。
此漏洞的成因主要是word在處理內嵌OLE2LINK對象時,通過網絡更新對象時沒有正確處理的Content-Type所導致的一個邏輯漏洞。由于邏輯漏洞的成因,就導致利用該漏洞時不需要繞過微軟采用的一系列諸如ASLR、DEP之類的漏洞緩解措施,因此成功率非常高。
1). office中的某組件從遠程上下載其他惡意文件。
從抓包分析來看,該樣本所連接的服務器已無法正常訪問。
從抓到的包數據中看出,該word樣本的意圖的確是想從遠程服務器上下載另外的惡意文檔surb.doc。
Surb.doc是利用cve-2017-11882的文件
由于默認狀態下Office文檔中的OLE Object需要用戶雙擊才能生效。與CVE-2017-0199一樣,需要設置OLE Object的屬性為自動更新,這樣無需交互,點擊打開文檔后惡意代碼就可以執行。
在Office文檔中插入或編輯公式時,Office進程(如winword.exe,excel.exe)會通過RPC啟動一個獨立的eqnedt32.exe進程來完成公式的解析和編輯等需求。Microsoft Office 2007及之后的版本已經用內置的公式編輯工具替代了EQNEDT32.exe,但為了保證對老版本的兼容,所有MicrosoftOffice和Office365仍支持EQNEDT32.exe編輯的公式。
通過IDA看到漏洞發生的位置如下圖,其中參數a1的內容來自于“Equation Native”流,該流的數據由文檔提供,正常情況下,流里面的數據代表一個MathType的公式。
溢出時,將返回地址覆蓋成了0x00630C12,對應著ole對象中的數據如下:
隨后在_strupr函數中,字符串內容被轉換,返回地址被修改為:0x00430C12。
Eqnedt32模塊中大量使用了strcpy,沒有對長度進行校驗:
而在解析“Equation Native”流的Font Name數據時,在上面的拷貝過程中沒有對FontName的長度做校驗,導致了棧溢出,最終使用精心構造的數據覆蓋函數的返回地址,達到劫持程序執行流程的目的。
文件被打開時,又會從遠程服務器上下載surb.msi并靜默執行。
Msi文件會釋放出formbook類型的惡意軟件。
樣本運行后首先以掛起狀態創建一個新的自身進程,之后解密出真正的惡意代碼,再使用ZwWriteVirtualMemory將惡意代碼寫入到剛創建的傀儡進程中,最后啟動傀儡進程執行惡意代碼。傀儡進程首先遍歷進程列表查找Explorer.exe,并使用NtMapViewOfSection向Explorer.exe注入ShellCode。
Explorer中注入的ShellCode會在%systemroot%\system32下隨機選取一個exe文件再次以傀儡進程的方式注入ShellCode,新的傀儡進程會刪除原始病毒樣本,并重新向Explorer.exe注入ShellCode,該ShellCode 為最終的執行的惡意代碼。之后惡意代碼會連接C&C服務器,以Get方式發送連接請求:
hook函數鍵盤記錄或文本監控:GetMessageA、GetMessageW、PeekMessageA、PeekMessageW、SendMessageA、SendMessageW。
瀏覽器函數:HttpSendRequestA、HttpSendRequestW、InternetQueryOptionW、EncryptMessage、WSASend。
瀏覽器的hook函數會在HTTP請求的內容中查找某些字符串,如果找到匹配字符串,則提取有關請求的信息,目標字符串如下:pass、token、email、login、signin、account、persistent。
通過判斷C&C指令以及特殊的“FBNG”字符串標志來執行對應的木馬功能。
由于遠程服務器截止目前無法正常訪問,所以不能動態地截取發包和收包過程。
樣本溯源分析
總結
Office軟件屬于最常見的軟件了,幾乎所有的企業內部的計算機都會有office套裝。該樣本也正是利用了2017年office漏洞中影響較廣、漏洞利用手段和技巧也非常成熟的cve-2017-0199和cve-2017-11882 兩個漏洞連續地從黑客遠程服務器上下載并運行其他的惡意軟件,最終在計算機上留下后門,對數據安全造成極大的威脅。附錄
Hash
C&C
76.72.173.69stomnsco.com
