安全预警: PowerPoint被用作攻击媒介来下载恶意软件

本文讲的是安全预警: PowerPoint被用作攻击媒介来下载恶意软件

根据趋势科技的最新跟踪分析,近日网络犯罪分子通过微软PowerPoint利用Windows对象链接嵌入(OLE)界面中的一个漏洞来安装恶意软件(由趋势科技检测为TROJ_CVE20170199.JVU)。该接口通常被恶意RTF文件(RTF)文件利用,比如,今年早些时候发现的DRIDEX银行木马就是使用的该方法。而本次的攻击从包含附件的网络钓鱼电子邮件中开始,恶意软件伪装成PPSX文件。这是一种仅允许播放幻灯片的PowerPoint文件,不可编辑。开始感染主机后,恶意代码会通过PowerPoint动画而运行。

攻击过程分析

TROJ_CVE20170199.JVU的感染流程

本次攻击从包含附件的网络钓鱼电子邮件中开始,攻击者可以将远程访问工具作为其最终的有效载荷。据观察,攻击的主要对象是电子制造业的公司。

电子邮件样本的内容如下所示:

虽然电子邮件本身提及有关订单请求的内容,但是接收此电子邮件的用户将无法查找附加的业务文档,而是点击PPSM文件时显示以下内容:

利用CVE-2017-0199的PPSX文件的屏幕截图

当恶意PowerPoint演示文件被打开时,它显示文本CVE-2017-8570,这是Office的另外一个漏洞。然而,根据趋势科技的分析,该漏洞其实是CVE-2017-0199。

被恶意代码感染的文件在ppt/slides/_rels/slide1[.]xml[.]rels中触发脚本标记,漏洞利用远程代码运行在hxxp://192[.]166[.]218[.]230:3550/logo[.]doc,这是被攻击者滥用的VPN或托管服务。

嵌入在ppt/slides/_rels/slide1[.]xml[.]rels中的远程恶意代码的有效内容链接

趋势科技的研究人员在实验环境中运行,被感染的PowerPoint在初始化脚本标记后,会并通过PowerPoint动画功能运行远程恶意有效载荷。

从下图可以看出,在成功利用漏洞之后,它将从网上下载文件logo.doc(由趋势科技检测为JS_DLOADER.AUSYVT)。

成功下载logo.doc文件

logo.doc不是doc文件,该文档实际上是一个具有JavaScript代码的XML文件,它运行PowerShell命令来下载并执行称为RATMAN.EXE的文件(趋势科技检测为BKDR_RESCOMS.CA),该执行文件实际上是Command&Control(C&C)服务器的REMCOS远程访问工具的木马版本:hxxp://192[.]166[.]218[.]230:3550/ratman[.]exe,位于波兰。 192[.]166[.]218[.]230地址同时也被托管其他种类的RAT。 然后,RATMAN.EXE连接到C&C服务器 5[.]134[.]116[.]146:3550 进行执行。

Ratman.EXE其实是REMCOS远程访问木马

其实,REMCOS远程访问木马刚开始是一种合法和可定制的远程访问工具,可让用户从世界任何地方控制系统。一旦执行了REMCOS,网络犯罪分子就能够在用户的系统上运行远程命令。该工具的功能可以在下图中的“控制面板”屏幕中看到。该工具的功能非常全面,包括下载和执行命令,键盘记录器,屏幕记录器和摄像头和麦克风的录像机。

虽然REMCOS构建器通常只包括使用UPX和MPRESS的压缩,但是研究人员获取的木马样本使用了一个未知的.NET保护器,其中包含多个保护和混淆,使研究人员更难以进行分析。

样本的混淆代码

下图中未解压的示例中的字符串显示了由它构建的REMCOS客户端的版本。

REMCOS使用加密通信,包括用于其认证和网络流量加密的硬编码密码。因此,为了使RATMAN.EXE与其客户端进行通信,必须相应地设置端口和密码。

最终,由于CVE-2017-0199的检测方法专注于RTF文件,因此使用PPSX 格式允许攻击者逃避防病毒检测。但是,趋势科技确实注意到,微软已经在4月份通过最新安全补丁解决了这个漏洞。

缓解方案

有本文的分析可以看出,用户在打开文件或点击邮件中的链接时要格外谨慎,即使它们的来源是通过正规渠道。网络钓鱼的攻击防不胜防,如本文所示,利用PPT可能会欺骗大多数用户下载恶意文件。除此之外,用户还应该始终使用最新的安全更新。

CVE-2017-0199是Office系列办公软件中的一个逻辑漏洞,和常规的内存破坏型漏洞不同,这类漏洞无需复杂的利用手法,直接就可以在office文档中运行任意的恶意脚本,使用起来稳定可靠。微软在今年4月安全更新中对CVE-2017-0199漏洞进行了修复,但安全补丁的修复及防御仍然可以绕过,在7月微软的安全更新中又修复了同样类型的新漏洞CVE-2017-8570。

原文发布时间为:2017年8月17日

本文作者:luochicun

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-10-28 21:14:10

安全预警: PowerPoint被用作攻击媒介来下载恶意软件的相关文章

微软称黑客利用PowerPoint漏洞进行攻击

北京时间5月13日下午消息,据国外媒体报道,微软周二表示,有黑客试图攻击其Windows版本PowerPoint用户,该公司已经发布了补丁以保护用户免受黑客攻击. 微软表示,苹果Mac机所用的一个PowerPoint版本也存在漏洞,但还没有证据表明黑客正针对该漏洞展开攻击.微软将此威胁定义为"严重",这微软安全等级中最高.最严重的一级. 赛门铁克表示,黑客通过用户打开受感染PowerPoint文件展开攻击,这些PowerPoint文件可能来自于网络或者电子邮件.该公司高级研究员阿尔弗雷

全球五大恶意软件家族曝光 黑客在利用各种攻击媒介和策略攻击技术

3月16日讯 安全公司Check Point表示, Hancitor下载器首次挤进最活跃恶意软件家族排行前5名. 全球五大恶意软件家族曝光 黑客在利用各种攻击媒介和策略攻击技术 - E安全 Hancitor下载器可以在被感染设备上安装银行木马和勒索软件.该软件的全球影响力在过去三个月里增加了2倍以上,排名荣升第至22位.Hancitor也被称为Chanitor,通过网络钓鱼电子邮件伪装成语音邮箱.传真或发票,通常作为启用宏的Office文档散播. 最活跃的恶意软件家族 总体而言,排名前三的恶意软

T9000:一款专攻击Skype用户的恶意软件

日前,一个全新的后门木马出现在人们的视线中,它可以从Skype中盗取文件.截屏并录制用户的通话记录.这个叫做T9000的木马是T5000的进化版,其在2013年和2014年尤为盛行,主要攻击人权活动人士.汽车行业及亚太地区的政府. 来自美加州帕洛阿尔托Networkds的研究人员表示,虽然T9000现在只在美国组织的钓鱼电子邮件中被发现,但只要攻击者想要,他们则是可以利用其对任何目标发起攻击.这款恶意软件通过RTF文件(利用的是CVE-2012-1856和CVE-2015-1641)侵入用户电脑

卡巴提醒用户谨防利用新PowerPoint漏洞的攻击

卡巴斯基实验室特别提醒用户近期须注意利用微软Office的PowerPoint组件漏洞的网络攻击.  微软于4月2号在其官网发布了一个安全公告,该公告中声称发现微软office产品中的PowerPoint组件存在一个严重漏洞,该漏洞允许远程执行代码.目前已确定受该漏洞影响的微软产品有Office 2000.Office XP 和 Office 2003以及Mac版的Office.而微软的最新版Office产品即 Office 2007不会受此漏洞影响.不过,目前我们发现利用此漏洞的网络攻击还很局

韩国提高网络预警等级防止朝鲜攻击

据俄罗斯卫星新闻2月14日消息,在朝鲜进行核试验并发射载有卫星的火箭后,韩国认为其面临可能的来自朝鲜的网络攻击威胁.报道称,韩国负责全国信息系统状态的INFOCON系统提高了预警水平. 据报道,这一五级制的预警系统,最低级别为五级,最高级别为一级,目前韩国已经将预警级别从四级提高到了三级.韩国外交界消息人士强调,朝鲜对韩国进行网络攻击有很大的可能性,因此不久前他们根据INFOCON系统重新设定了预警级别. 他还补充说,到目前为止,尚未发现韩国国防部系统遭到朝鲜黑客的袭击,但"这种可能增加了,因此

调查显示,越来越多的攻击活动不再依赖恶意软件了

根据CarbonBlack的最新研究报告,各位安全研究专家可要注意了,因为现在越来越多的攻击者在进行恶意活动时并不需要依赖恶意软件了. 根据该公司发表的这篇标题为<2016年非恶意软件攻击和勒索软件正在兴起>的报告,在今年的1月份,大约有3%的网络攻击利用的是目标系统中的应用程序漏洞以及合法进程.但是到11月份时,这种攻击方法的占比数量上升到了13%.报告中指出:"不依赖于恶意软件的黑客攻击活动目前已经到达了一种前所未有的高水平阶段,所以在2017年,安全研究专家们应该更加注意这种类

百度安全预警:“强迫症”头像暗藏木马 谨防下载中招

中介交易 SEO诊断 淘宝客 云主机 技术大厅 由于带有浓烈的恶搞性质,近日,一组号称"分分钟死强迫症"的头像在微信用户群中大火.不少朋友为整蛊朋友,专门上网搜集此类头像,不过,百度安全中心提醒大家:"强迫症"头像暗藏木马,盲目下载极易引鬼上门. "强迫症头像"头像的设计非常简单,就是在微信头像的右上角有一个数字角标(通常是"1"),此类数字往往代表着有新的微信消息或更新提示,不少网友会习惯性地去戳该头像,反复点击后才会发现,

安卓木马 Marcher 窃取数十款银行 APP 账户凭证,杀毒软件无法卸载

一种新 Android 银行木马 Marcher 正在兴起,通过短信或彩信进行网络钓鱼攻击诱骗用户下载恶意软件,获取权限.收集数十家银行账户数据.重要的是,国内外二十多款杀毒软件拿它没办法,无法查杀卸载. 据 Securify 统计,在 11000 个受影响设备中近 5700 个属于德国移动设备.2200 个是法国移动设备.此外,大多数受感染的设备运行的是 Android 6.0.1 系统. 安全专家介绍,木马通过短信.彩信或者社交软件消息进行网络钓鱼,利用社会工程学诱骗用户点击下载木马,安装时

宏恶意软件卷土重来 企业如何抵挡?

曾经老旧的攻击方式总是会以新的形式卷土重来,让网络罪犯再次将其用于创造利益. 这包括宏恶意软件,即编码在宏程序中的恶意软件,当目标受害者打开文档文件时便会执行.我们看到旧的宏病毒作宏恶意软件再次出现,并结合了过去20年的攻击技术.不过,很多抵御第一代宏恶意软件的相同的措施仍然可行,而且可以整合到现在使用的更安全的系统中. 最新一代宏恶意软件 Proofpoint公司报告称,自2014年年底以来,在文档附件中嵌入宏恶意软件的网络钓鱼攻击显著增加.这些网络钓鱼电子邮件附件包含嵌入的宏病毒,当收件人被