新式PPT進(jìn)犯流程
FortiGuard 實(shí)驗(yàn)室最近發(fā)現(xiàn)了一種新的歹意PPT文件,名為ADVANCED DIPLOMATIC PROTOCOL AND ETIQUETTE SUMMIT.ppsx,閱讀幻燈片能夠發(fā)現(xiàn)該歹意文件針對(duì)的目標(biāo)為聯(lián)合國組織、交際使館、國際組織及與他國政府有交往的人,我們將會(huì)剖析此歹意PPT文件會(huì)如何操控你的體系,以下是大約的進(jìn)犯流程。
圖1 進(jìn)犯流程圖
CVE-2017-0199
進(jìn)犯使用了CVE-2017-0199縫隙,該縫隙于2017年4月公布并修復(fù),當(dāng)在微軟Office或WordPad下解析特殊結(jié)構(gòu)的文件時(shí)會(huì)觸發(fā)長(zhǎng)途代碼履行,在微軟Office的OLE接口下成功使用此縫隙的進(jìn)犯者能夠操控感染的計(jì)算機(jī)體系,WayneLow[1]很好地剖析過該縫隙。
這現(xiàn)已不是第一次遇到進(jìn)犯者使用該縫隙了,之前我們見過此縫隙被用在傳播REMCOS RAT歹意軟件的PPT幻燈片中,不過這次進(jìn)犯差異于基于鼠標(biāo)移動(dòng)的PPT文件進(jìn)犯,使用ppaction://protocol建議PowerShell指令,打開感染的PPT文件時(shí)會(huì)觸發(fā)ppt/slides/_rels/slide1.xml.rels中的腳本,然后從hxxp://www[.]narrowbabwe[.]net:3345/exp[.]doc下載長(zhǎng)途代碼,使用PPT動(dòng)畫播映特性履行代碼,歹意結(jié)構(gòu)的文件在Target后有很多的空格來逃避YARA檢測(cè)(YARA是僅有軟件剖析檢測(cè)工具)。
圖2 使用CVE-2017-0199的PPSX文件
觀察文件履行時(shí)的網(wǎng)絡(luò)流量能夠看到特意結(jié)構(gòu)的文件成功使用了縫隙并下載履行了exp.doc文件,這不是doc文件而是一個(gè)包含javascriot代碼的XML文件。
圖3 PPTX文件的網(wǎng)絡(luò)流量
UAC繞過提權(quán)
從XML文件中提取出JavaScript代碼后能夠看到它會(huì)在%Temp%\Microsoft_Office_Patch_KB2817430.jse中寫入一個(gè)文件,文件名仿照了微軟Office的補(bǔ)丁名來降低可疑度并試圖展現(xiàn)合法文件的行為,但明顯并非如此。
圖4 嵌入JavaScript代碼的XML文件
此樣本除了使用CVE縫隙外還使用了繞過WindowsUAC安全策略的技能來以高權(quán)限履行代碼,更高的權(quán)限等同于更多的授權(quán)和更多被答應(yīng)的行為。UAC繞過技能包含綁架HKCU\software\classes\mscfile\shell\open\command中的注冊(cè)表并履行eventvwr.exe,你能夠在這里[2]更深化的了解UAC繞過和權(quán)限提高相關(guān)的技能。
圖5 繞過UAC策略的注冊(cè)表添加項(xiàng)
剖析JavaScript
以高權(quán)限運(yùn)行的Microsoft_Office_Patch_KB2817430.jse歹意軟件包含以下代碼:
圖6 Microsoft_Office_Patch_KB2817430.jse文件
在以上代碼中,WMI ActiveScriptConsumers得到了持久使用,創(chuàng)立定時(shí)器事件使得腳本每12秒履行一次,運(yùn)行它的腳本編碼存儲(chǔ)在注釋中。
圖7 解碼后的腳本
從JPG文件中獲取C&C服務(wù)器信息
解碼注釋中的代碼后,腳本讀取下列注冊(cè)項(xiàng),如果不存在就創(chuàng)立它們。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Seed0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Feed0
圖8 名為Feed0和Seed0的注冊(cè)表向項(xiàng)
寫入到注冊(cè)表項(xiàng)中的值經(jīng)過了Microsoft_Office_Patch_KB2817430.jse文件的硬編碼,解碼后值為hxxp://narrowbabwe[.]net/comsary/logo[.]jpg,腳本建議對(duì)此URL的懇求,可是不會(huì)有任何回應(yīng),憑借VirusTotal能夠獲取到/logo.jpg文件。
圖9 篡改的jpg文件
有了/logo.jpg后能夠持續(xù)剖析樣本,jpg文件有一損壞部分,這意味著進(jìn)犯者篡改了圖片以躲藏一些數(shù)據(jù),躲藏信息/數(shù)據(jù)這是十分有效的技能由于jpg文件一般被認(rèn)為對(duì)錯(cuò)歹意文件。
圖10 獲取躲藏?cái)?shù)據(jù)的代碼
代碼獲取了Response_Text長(zhǎng)度或許文件結(jié)尾并截取0x80h長(zhǎng)度,作為編碼數(shù)據(jù)的開始部分,if句子比較jpg文件中硬編碼的值為95,2,7的符號(hào)。如果不滿足if條件則無返回值,如果匹配到符號(hào),則會(huì)從i偏移處獲取44字符長(zhǎng)度的substr,作為編碼的URL。圖11 篡改的數(shù)據(jù)
編碼后的URL會(huì)被寫入到名為/Seed0的注冊(cè)表,解碼后的值為hxxp://www[.]narrowbabwe[.]net/comsary/index[.]php。
圖12 Seed0注冊(cè)表項(xiàng)
C&C通訊
下一步經(jīng)過獲取網(wǎng)絡(luò)適配器裝備來辨別代碼是否在虛擬環(huán)境中運(yùn)行并搜索是否存在Virtual值。
圖13 檢查虛擬環(huán)境
有意思的是,要發(fā)送的數(shù)據(jù)取決于是否找到了Virtual字符串,如果沒找到,搜集的數(shù)據(jù)會(huì)包含受感染機(jī)器的&ipaddr(IP地址)和&macaddr(MAC地址)。
圖14 從感染機(jī)器搜集的信息
搜集到需求的信息后進(jìn)行編碼并使用HTTP POST懇求發(fā)送到hxxp://www[.]narrowbabwe[.]net/comsary/index[.]php
圖15 向C&C建議的HTTP POST懇求
要發(fā)送的數(shù)據(jù)格式如下:
圖16 編碼后要發(fā)送的數(shù)據(jù)
不幸的是,在我們剖析的時(shí)候C&C服務(wù)器現(xiàn)已下線所以沒收到任何呼應(yīng),不過依然能夠從下面的代碼承認(rèn)C&C的呼應(yīng)包含經(jīng)過eval()函數(shù)履行的任意指令,這些指令能夠是傳送數(shù)據(jù)的下載函數(shù),最常用的歹意特務(wù)軟件是RATs(Remote Access Trojans)。
圖17 指令和成果履行
一旦來自C&C服務(wù)器的指令履行完成,會(huì)使用下面的HTTP POST懇求字符串格式向服務(wù)器發(fā)回一個(gè)告訴。
圖18 指令履行成果POST告訴
總結(jié)
剖析提醒出,該歹意代碼用到了多重技能手段來躲避檢測(cè)并保持有效性,這些技能包含使用CVE-2017-0199、UAC繞過技能、權(quán)限提高技能、多層嵌入式編碼腳本、分階段URL連接、嵌入C&C信息到j(luò)pg文件等,這展示了進(jìn)犯者能夠使用他們的歹意文件實(shí)現(xiàn)持久進(jìn)犯。
解決辦法
1、 升級(jí)微軟更新的縫隙修復(fù)補(bǔ)丁
2、 FortiGuard反病毒服務(wù)檢測(cè)這種威脅MSOffice/Downloader!exploit.CVE20170199
3、 FortiGuard Web攔截服務(wù)能夠阻斷所有C&C和相關(guān)URLs
4、 FortiSandbox視PPSX文件為高危級(jí)別
IOCs:
8e89ae80ea50110244f2293f14615a7699b1c5d2a70415a676aa4588117ad9a7 – PPSX
CC:
hxxp://www[.]narrowbabwe[.]net/comsary/logo[.]jpg
hxxp://www[.]narrowbabwe[.]net:3345/exp[.]doc
hxxp://www[.]narrowbabwe[.]net/comsary/index[.]php
| 
