379
熱門ppt
安全預警:PPT被用作攻擊媒介來下載惡意軟件
導語:根據Canthink網絡安全攻防實驗室的一份報告分析,2017年1至6月,CVE-2017-0199漏洞利用占比70%,位列第一位。該漏洞以RTF文檔為載體,偽裝性非常強,依然是最為常用的漏洞攻擊手段。
知道2017年上半年被利用最多的漏洞是哪個嗎?2017年1至6月,CVE-2017-0199漏洞利用占比70%,位列第一位。該漏洞以RTF文檔為載體,偽裝性非常強,依然是最為常用的漏洞攻擊手段。
近日網絡犯罪分子通過微軟PowerPoint利用Windows對象鏈接嵌入(OLE)界麵中的一個漏洞來安裝惡意軟件(由趨勢科技檢測為TROJ_CVE20170199.JVU)。該接口通常被惡意RTF文件(RTF)文件利用,比如,今年早些時候發現的DRIDEX銀行木馬就是使用的該方法。而本次的攻擊從包含附件的網絡釣魚電子郵件中開始,惡意軟件偽裝成PPSX文件。這是一種僅允許播放幻燈片的PowerPoint文件,不可編輯。開始感染主機後,惡意代碼會通過PowerPoint動畫而運行。
攻擊過程分析
TROJ_CVE20170199.JVU的感染流程
本次攻擊從包含附件的網絡釣魚電子郵件中開始,攻擊者可以將遠程訪問工具作為其最終的有效載荷。據觀察,攻擊的主要對象是電子製造業的公司。
電子郵件樣本的內容如下所示:
雖然電子郵件本身提及有關訂單請求的內容,但是接收此電子郵件的用戶將無法查找附加的業務文檔,而是點擊PPSM文件時顯示以下內容:
利用CVE-2017-0199的PPSX文件的屏幕截圖
當惡意PowerPoint演示文件被打開時,它顯示文本CVE-2017-8570,這是Office的另外一個漏洞。然而,根據趨勢科技的分析,該漏洞其實是CVE-2017-0199。
被惡意代碼感染的文件在ppt/slides/_rels/slide1[.]xml[.]rels中觸發腳本標記,漏洞利用遠程代碼運行在hxxp://192[.]166[.]218[.]230:3550/logo[.]doc,這是被攻擊者濫用的VPN或托管服務。
嵌入在ppt/slides/_rels/slide1[.]xml[.]rels中的遠程惡意代碼的有效內容鏈接
趨勢科技的研究人員在實驗環境中運行,被感染的PowerPoint在初始化腳本標記後,會並通過PowerPoint動畫功能運行遠程惡意有效載荷。
從下圖可以看出,在成功利用漏洞之後,它將從網上下載文件logo.doc(由趨勢科技檢測為JS_DLOADER.AUSYVT)。
成功下載logo.doc文件
logo.doc不是doc文件,該文檔實際上是一個具有JavaScript代碼的XML文件,它運行PowerShell命令來下載並執行稱為RATMAN.EXE的文件(趨勢科技檢測為BKDR_RESCOMS.CA),該執行文件實際上是Command&Control(C&C)服務器的REMCOS遠程訪問工具的木馬版本:hxxp://192[.]166[.]218[.]230:3550/ratman[.]exe,位於波蘭。 192[.]166[.]218[.]230地址同時也被托管其他種類的RAT。 然後,RATMAN.EXE連接到C&C服務器 5[.]134[.]116[.]146:3550 進行執行。
Ratman.EXE其實是REMCOS遠程訪問木馬
其實,REMCOS遠程訪問木馬剛開始是一種合法和可定製的遠程訪問工具,可讓用戶從世界任何地方控製係統。一旦執行了REMCOS,網絡犯罪分子就能夠在用戶的係統上運行遠程命令。該工具的功能可以在下圖中的“控製麵板”屏幕中看到。該工具的功能非常全麵,包括下載和執行命令,鍵盤記錄器,屏幕記錄器和攝像頭和麥克風的錄像機。
雖然REMCOS構建器通常隻包括使用UPX和MPRESS的壓縮,但是研究人員獲取的木馬樣本使用了一個未知的.NET保護器,其中包含多個保護和混淆,使研究人員更難以進行分析。
下圖中未解壓的示例中的字符串顯示了由它構建的REMCOS客戶端的版本。
REMCOS使用加密通信,包括用於其認證和網絡流量加密的硬編碼密碼。因此,為了使RATMAN.EXE與其客戶端進行通信,必須相應地設置端口和密碼。
最終,由於CVE-2017-0199的檢測方法專注於RTF文件,因此使用PPSX 格式允許攻擊者逃避防病毒檢測。但是,趨勢科技確實注意到,微軟已經在4月份通過最新安全補丁解決了這個漏洞。
緩解方案
有本文的分析可以看出,用戶在打開文件或點擊郵件中的鏈接時要格外謹慎,即使它們的來源是通過正規渠道。網絡釣魚的攻擊防不勝防,如本文所示,利用PPT可能會欺騙大多數用戶下載惡意文件。除此之外,用戶還應該始終使用最新的安全更新。
CVE-2017-0199是Office係列辦公軟件中的一個邏輯漏洞,和常規的內存破壞型漏洞不同,這類漏洞無需複雜的利用手法,直接就可以在office文檔中運行任意的惡意腳本,使用起來穩定可靠。微軟在今年4月安全更新中對CVE-2017-0199漏洞進行了修複,但安全補丁的修複及防禦仍然可以繞過,在7月微軟的安全更新中又修複了同樣類型的新漏洞CVE-2017-8570。
最後更新:2017-08-25 09:49:18