CVE-2017-0199——首个Microsoft Office RTF漏洞

本文讲的是 CVE-2017-0199——首个Microsoft Office RTF漏洞

FireEye最近检测到使用CVE-2017-0199漏洞的恶意Microsoft Office RTF文档,这是以前从未发现的漏洞。CVE-2017-0199漏洞发布日期为2017年4月11号,受影响系统包括:

Microsoft Office 2016
Microsoft Office 2013
Microsoft Office 2010
Microsoft Office 2007

当用户打开包含嵌入式漏洞的文档时,此漏洞允许恶意攻击者下载并执行包含PowerShell命令的Visual Basic脚本。 FireEye已经观察到Office文档利用CVE-2017-0199下载并执行来自不同恶意软件家族的恶意程序有效载荷。

漏洞修复地址:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

建议大家赶紧升级,因为该漏洞会绕过目前已知的大多数缓解,不过根据我们的研究,目前CVE-2017-0199漏洞似乎还无法绕过然而FireEye的安全防护。

三阶段攻击过程还原

攻击者通过OLE2对象链接与嵌入技术把要嵌入恶意脚本的对象发送到目标用户的Microsoft Word文档中。当用户打开文档时,winword.exe会向远程服务器发出HTTP请求,以检索恶意HTA文件,服务器返回的文件是一个带有嵌入式恶意脚本的假RTF文件。

Winword.exe通过COM对象查找application / hta的文件处理程序,这会导致Microsoft HTA应用程序(mshta.exe)加载并执行恶意脚本。就在这个漏洞公布之前, FireEye已经在观察到的两个文档中,发现了以下恶意行为:

1.有恶意脚本终止winword.exe进程,
2.有恶意脚本下载了额外的有效载荷并加载了带有攻击诱饵的文件,
3.原来的winword.exe进程被终止以隐藏OLE2link生成的用户提示,如下图所示:

Visual Basic脚本隐藏了用户提示

恶意文件1 ——MD5:5ebfd13250dd0408e3de594e419f9e01

FireEye所确认的第一个含有CVE-2017-0199漏洞的恶意文件的攻击过程总共分三个阶段。OLE2通过winword.exe向目标URL发送已经嵌入恶意脚本的文档,以下载第一阶段的恶意HTA文件:

http[:]//46.102.152[.]129/template.doc

一旦下载,恶意的HTA文件由“application/hta”处理程序处理。下图中,突出显示的行显示了第一次下载,其次是附加的恶意有效载荷:

第一阶段攻击过程

一旦下载,模板文件就会被存储在用户的临时Internet文件中,名称为[?].hta,其中[?]在运行时就已被确定。

Mshta.exe负责处理Content-Type“application / hta”,解析内容和执行脚本,下图显示了winword.exe查询“application / hta”处理程序的CLSID的注册表值:

Winword查询注册表值

Winword.exe向DCOMLaunch服务发出请求,这又导致托管DCOMLaunch的svchost.exe进程执行mshta.exe。然后,Mshta.exe执行嵌入恶意HTA文档中的脚本,下图显示了第一阶段下载的VBScript:

第一个文件,第一阶段中VBScript

上图所示的脚本会执行以下恶意操作:

1.使用taskkill.exe终止winword.exe进程,以隐藏图1所示的提示,
2.从http[:]//www.modani[.]com/media/wysiwyg/ww.vbs下载一个VBScript文件,并将其保存到%appdata% Microsoft  Windows  maintenance.vbs,
3.从 http[:]//www.modani[.]com/media/wysiwyg/questions.doc下载诱饵文件,并将其保存到%temp% document.doc,
4.关闭microsoft 15.0和16.0的弹窗,以便保证Microsoft Word看似正常运行,
5.执行恶意阶段的两个VBScript:%appdata%MicrosoftWindowsmaintenance.vbs
6.打开诱饵文档%temp% document.doc,以隐藏用户的恶意活动

一旦执行,第二阶段下载的VBScript(ww.vbs/maintenance.vbs)将执行以下操作:

1.将嵌入式混淆的脚本写入%TMP%/ eoobvfwiglhiliqougukgm.js

2.执行脚本

混淆的eoobvfwiglhiliqougukgm.js脚本在执行时执行以下操作:

1.尝试从系统中删除自己

2.尝试下载http[:]//www.modani[.]com/media/wysiwyg/wood.exe(最多44次),并将文件保存到%TMP% dcihprianeeyirdeuceulx.exe

3.执行%TMP% dcihprianeeyirdeuceulx.exe

下图显示了进程中所发生的执行任务:

进程事件

在这种恶意软件中使用的最终有效载荷是LATENTBOT恶意软件家族中最新的一个版本:

第一个文档的文件元数据

LATENTBOT有效载荷

与第一个文档相关联的有效载荷是LATENTBOT恶意软件家族中最新的一个版本,LatentBot,从2013年年中就开始活跃。它有能力在不被察觉的情况下监视用户,可以破坏硬盘甚至破坏计算机,隐蔽是它的其中的一个特点,LATENTBOT的恶意代码在内存中的时间十分短暂,所以至今 LATENTBOT也不为安全专家所了解。

出LATENTBOT的一些主要特性如下:

1.多层混淆
2.内存中解密用的字符串用后即删
3.在不同的桌面影藏应用
4.主引导记录(MBR)清除功能
5.与赎金锁(Ransomlock)类似的锁定桌面功能
6.隐藏VNC连接
7.模块化设计,在受害者机器上可轻松进行更新
8.十分隐蔽的反弹通信量,APIs,注册表键值以及其他一些动态解密指示
9.将Pony恶意软件作为其中一个模块窃取信息

较新版本的LATENTBOT具有用于Windows XP(x86)和Windows 7操作系统的不同注入机制:

1.Attrib.exe修补:LATENTBOT木马会调用Attrib.exe,修补内存中的条目,并插入一个JMP指令将控件传输到映射部分。要在atrrib.exe的地址空间中映射该部分,就要使用ZwMapViewOfSection(),

2.Svchost代码注入:Attrib.exe以挂起模式启动svchost.exe进程,创建空间,并通过调用ZwMapViewOfSection()分配代码,

3.控制传输:然后使用SetThreadContext()修改主线程的OEP,这将在远程进程中执行以触发代码执行,

4.浏览器注入:在NtMapVIewOfSection()的帮助下将最终的有效载荷注入默认的Web浏览器。

在Windows 7或更高版本的操作系统中,LATENTBOT木马不使用attrib.exe。而是将代码注入到svchost.exe中,然后通过利用NtMapViewOfSection()启动具有恶意有效载荷的默认浏览器。然后连接到以下命令和控制(C2)服务器:

在与C2服务器成功连接后,LATENTBOT会生成一个信标。其中一个解密的信标如下,更新版本号为5015:

在分析时,C2服务器处于脱机状态,LATENTBOT具有高度模块化的插件架构。截至2017年4月10日, www.modani[.]com/media/wysiwyg/wood.exe上托管的恶意软件已更新,C2服务器已移至 217.12.203[.]100。

恶意文件2 – (MD5:C10DABB05A38EDD8A9A0DDDA1C9AF10E)

FireEye识别出的第二个恶意文件包括两个恶意攻击阶段,在第一个阶段中,恶意程序会到以下网址下载阶段一所需的恶意HTA文件:

http[:]//95.141.38[.]110/mo/dnr/tmp/template.doc

该文件会下载到用户的临时Internet文件目录中,名称为[?].hta,其中[?]在运行时已经被确定。一旦下载,winword.exe就会使用mshta.exe解析该文件。 mshta.exe通过文件查找

你可能感兴趣的:(CVE-2017-0199——首个Microsoft Office RTF漏洞)