本文讲的是安全预警: PowerPoint被用作攻击媒介来下载恶意软件,
根据趋势科技的最新跟踪分析,近日网络犯罪分子通过微软PowerPoint利用Windows对象链接嵌入(OLE)界面中的一个漏洞来安装恶意软件(由趋势科技检测为TROJ_CVE20170199.JVU)。该接口通常被恶意RTF文件(RTF)文件利用,比如,今年早些时候发现的DRIDEX银行木马就是使用的该方法。而本次的攻击从包含附件的网络钓鱼电子邮件中开始,恶意软件伪装成PPSX文件。这是一种仅允许播放幻灯片的PowerPoint文件,不可编辑。开始感染主机后,恶意代码会通过PowerPoint动画而运行。
攻击过程分析
TROJ_CVE20170199.JVU的感染流程
本次攻击从包含附件的网络钓鱼电子邮件中开始,攻击者可以将远程访问工具作为其最终的有效载荷。据观察,攻击的主要对象是电子制造业的公司。
电子邮件样本的内容如下所示:
虽然电子邮件本身提及有关订单请求的内容,但是接收此电子邮件的用户将无法查找附加的业务文档,而是点击PPSM文件时显示以下内容:
利用CVE-2017-0199的PPSX文件的屏幕截图
当恶意PowerPoint演示文件被打开时,它显示文本CVE-2017-8570,这是Office的另外一个漏洞。然而,根据趋势科技的分析,该漏洞其实是CVE-2017-0199。
被恶意代码感染的文件在ppt/slides/_rels/slide1[.]xml[.]rels中触发脚本标记,漏洞利用远程代码运行在hxxp://192[.]166[.]218[.]230:3550/logo[.]doc,这是被攻击者滥用的VPN或托管服务。
嵌入在ppt/slides/_rels/slide1[.]xml[.]rels中的远程恶意代码的有效内容链接
趋势科技的研究人员在实验环境中运行,被感染的PowerPoint在初始化脚本标记后,会并通过PowerPoint动画功能运行远程恶意有效载荷。
从下图可以看出,在成功利用漏洞之后,它将从网上下载文件logo.doc(由趋势科技检测为JS_DLOADER.AUSYVT)。
成功下载logo.doc文件
logo.doc不是doc文件,该文档实际上是一个具有JavaScript代码的XML文件,它运行PowerShell命令来下载并执行称为RATMAN.EXE的文件(趋势科技检测为BKDR_RESCOMS.CA),该执行文件实际上是Command&Control(C&C)服务器的REMCOS远程访问工具的木马版本:hxxp://192[.]166[.]218[.]230:3550/ratman[.]exe,位于波兰。 192[.]166[.]218[.]230地址同时也被托管其他种类的RAT。 然后,RATMAN.EXE连接到C&C服务器 5[.]134[.]116[.]146:3550 进行执行。
Ratman.EXE其实是REMCOS远程访问木马
其实,REMCOS远程访问木马刚开始是一种合法和可定制的远程访问工具,可让用户从世界任何地方控制系统。一旦执行了REMCOS,网络犯罪分子就能够在用户的系统上运行远程命令。该工具的功能可以在下图中的“控制面板”屏幕中看到。该工具的功能非常全面,包括下载和执行命令,键盘记录器,屏幕记录器和摄像头和麦克风的录像机。
虽然REMCOS构建器通常只包括使用UPX和MPRESS的压缩,但是研究人员获取的木马样本使用了一个未知的.NET保护器,其中包含多个保护和混淆,使研究人员更难以进行分析。
样本的混淆代码
下图中未解压的示例中的字符串显示了由它构建的REMCOS客户端的版本。
REMCOS使用加密通信,包括用于其认证和网络流量加密的硬编码密码。因此,为了使RATMAN.EXE与其客户端进行通信,必须相应地设置端口和密码。
最终,由于CVE-2017-0199的检测方法专注于RTF文件,因此使用PPSX 格式允许攻击者逃避防病毒检测。但是,趋势科技确实注意到,微软已经在4月份通过最新安全补丁解决了这个漏洞。
缓解方案
有本文的分析可以看出,用户在打开文件或点击邮件中的链接时要格外谨慎,即使它们的来源是通过正规渠道。网络钓鱼的攻击防不胜防,如本文所示,利用PPT可能会欺骗大多数用户下载恶意文件。除此之外,用户还应该始终使用最新的安全更新。
CVE-2017-0199是Office系列办公软件中的一个逻辑漏洞,和常规的内存破坏型漏洞不同,这类漏洞无需复杂的利用手法,直接就可以在office文档中运行任意的恶意脚本,使用起来稳定可靠。微软在今年4月安全更新中对CVE-2017-0199漏洞进行了修复,但安全补丁的修复及防御仍然可以绕过,在7月微软的安全更新中又修复了同样类型的新漏洞CVE-2017-8570。
原文发布时间为:2017年8月17日
本文作者:luochicun
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。