Office漏洞在野利用后门远控分析报告
2019-01-16 来源:安全资讯
样本信息 样本名称: CVE-2017-0199.Exploit。 CVE-2017-11882.exploit。 Trojan.Backdoor 样本家族: Backdoor 样本类型: 漏洞利用、后门。 MD 5 : 1a3ff39c7abf2477c08e62a408b764c2。 2172ef749af3afe263cf17395913175b。
样本信息
样本名称:CVE-2017-0199.Exploit。CVE-2017-11882.exploit。
Trojan.Backdoor
样本家族:Backdoor
样本类型:漏洞利用、后门。
MD5: 1a3ff39c7abf2477c08e62a408b764c2。
2172ef749af3afe263cf17395913175b。
99226105ebf33383401bf0fedc3cd117。
b9a4b376b91c22ac3a64a3e6be4d2aec。
SHA1: f91ca114792b05ecc1fb10f260d2fa8ba857a555。
0b34a3b882638b4497eba6a5a28c67aa7096cfe5。
bb8c0297ccbb3d5185f8d7ff7ab3ddb43452ed7d。
d8432923d549c755e4901aea38951c8f8b1264da。
文件类型:doc,doc,msi,exe
文件大小:172.32 KB,261.13 KB,704 KB,680 KB。
传播途径:钓鱼邮件。
专杀信息:暂无
影响系统:影响office 2007 – 2016所有版本。
样本来源:互联网
发现时间:2019.1
入库时间:
C2服务器: 76.72.173.69。
Stomnsco.com。
样本概况
该word样本(cve-2017-0199.exploit)利用cve-2017-0199漏洞,企图在word文档打开时就从远程服务器下载surb.doc(cve-2017-11882.exploit),surb.doc利用office中的公式编辑器漏洞去远程下载并运行surb.msi。在msiexec运行surb.msi时,又会释放最后一个内嵌的恶意文件,正是这个最后释放的恶意文件(trojan.backdoor)执行进程注入、hook函数、收集信息、远程控制等核心功能。
样本危害
该木马可以根据从服务端接收的命令可以随时选择执行获取上传用户电脑的浏览器上网代理设置和安装软件列表信息、本地磁盘列表及类型等信息,并且可以下载,执行一条命令,做到完全控制用户电脑。能够窃取用户电脑上的信息,更新木马文件,下载执行更多的恶意文件,极大的危害用户的系统安全和信息安全。漏洞补丁信息
Office 2007kb2526086
kb2526086
kb3141529
Office 2010
kb2687455
kb3141529
Office 2016
kb3178703
Cve-2017-11882
Office 2007 (KB4011604)
Office 2010 (KB4011618)
Office 2013 (KB3162047)
Office 2016 (KB4011262)
应对措施及建议
该样本以及所依赖的其他恶意组件都利用了往年比较热门的office漏洞,所以建议用户及时更新操作系统以及office补丁。该样本最终释放的是个后门病毒,有较强的隐蔽性。建议用户开启杀毒软件的主动防御和文件监控功能,并且开启防火墙。
不要随意打开陌生人发送过来的邮件,及时扫描邮件中的附件。
行为概述
文件行为
C:\Users\vbccsb\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRD0000.doc。。C:\Users\vbccsb\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRD0001.doc。
进程行为
启动cmd和msiexec创建并执行MSIDE71.tmp
注册表行为
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run网络行为
1). 尝试下载http://stomnsco.com/cgi/surb.doc。2). 尝试下载http://stomnsco.com/cgi/surb.msi。
3). 尝试与104.27.190.196通信。
详细分析报告
利用该漏洞的一种典型的攻击场景为:攻击者将CVE-2017-0199漏洞的RTF文件作为一个源嵌入到了Docx格式的文档中,docx文件在打开时是自动去远程获取包含0199漏洞的rtf文件,再触发后面的漏洞利用代码,这样的攻击增加了安全软件的查杀难度。原始文件为一个docx格式的文档,在该文档中嵌入了黑客远程服务器上的一个文档,从下图可以看到链接到MsOffice.doc地址。
恶意文件包含着一个vbscript脚本,脚本内容如下:
主要意图仍然是从远程服务器上继续下载其他的恶意组件。
此漏洞的成因主要是word在处理内嵌OLE2LINK对象时,通过网络更新对象时没有正确处理的Content-Type所导致的一个逻辑漏洞。由于逻辑漏洞的成因,就导致利用该漏洞时不需要绕过微软采用的一系列诸如ASLR、DEP之类的漏洞缓解措施,因此成功率非常高。
1). office中的某组件从远程上下载其他恶意文件。
从抓包分析来看,该样本所连接的服务器已无法正常访问。
从抓到的包数据中看出,该word样本的意图的确是想从远程服务器上下载另外的恶意文档surb.doc。
Surb.doc是利用cve-2017-11882的文件
由于默认状态下Office文档中的OLE Object需要用户双击才能生效。与CVE-2017-0199一样,需要设置OLE Object的属性为自动更新,这样无需交互,点击打开文档后恶意代码就可以执行。
在Office文档中插入或编辑公式时,Office进程(如winword.exe,excel.exe)会通过RPC启动一个独立的eqnedt32.exe进程来完成公式的解析和编辑等需求。Microsoft Office 2007及之后的版本已经用内置的公式编辑工具替代了EQNEDT32.exe,但为了保证对老版本的兼容,所有MicrosoftOffice和Office365仍支持EQNEDT32.exe编辑的公式。
通过IDA看到漏洞发生的位置如下图,其中参数a1的内容来自于“Equation Native”流,该流的数据由文档提供,正常情况下,流里面的数据代表一个MathType的公式。
溢出时,将返回地址覆盖成了0x00630C12,对应着ole对象中的数据如下:
随后在_strupr函数中,字符串内容被转换,返回地址被修改为:0x00430C12。
Eqnedt32模块中大量使用了strcpy,没有对长度进行校验:
而在解析“Equation Native”流的Font Name数据时,在上面的拷贝过程中没有对FontName的长度做校验,导致了栈溢出,最终使用精心构造的数据覆盖函数的返回地址,达到劫持程序执行流程的目的。
文件被打开时,又会从远程服务器上下载surb.msi并静默执行。
Msi文件会释放出formbook类型的恶意软件。
样本运行后首先以挂起状态创建一个新的自身进程,之后解密出真正的恶意代码,再使用ZwWriteVirtualMemory将恶意代码写入到刚创建的傀儡进程中,最后启动傀儡进程执行恶意代码。傀儡进程首先遍历进程列表查找Explorer.exe,并使用NtMapViewOfSection向Explorer.exe注入ShellCode。
Explorer中注入的ShellCode会在%systemroot%\system32下随机选取一个exe文件再次以傀儡进程的方式注入ShellCode,新的傀儡进程会删除原始病毒样本,并重新向Explorer.exe注入ShellCode,该ShellCode 为最终的执行的恶意代码。之后恶意代码会连接C&C服务器,以Get方式发送连接请求:
hook函数键盘记录或文本监控:GetMessageA、GetMessageW、PeekMessageA、PeekMessageW、SendMessageA、SendMessageW。
浏览器函数:HttpSendRequestA、HttpSendRequestW、InternetQueryOptionW、EncryptMessage、WSASend。
浏览器的hook函数会在HTTP请求的内容中查找某些字符串,如果找到匹配字符串,则提取有关请求的信息,目标字符串如下:pass、token、email、login、signin、account、persistent。
通过判断C&C指令以及特殊的“FBNG”字符串标志来执行对应的木马功能。
由于远程服务器截止目前无法正常访问,所以不能动态地截取发包和收包过程。
样本溯源分析
总结
Office软件属于最常见的软件了,几乎所有的企业内部的计算机都会有office套装。该样本也正是利用了2017年office漏洞中影响较广、漏洞利用手段和技巧也非常成熟的cve-2017-0199和cve-2017-11882 两个漏洞连续地从黑客远程服务器上下载并运行其他的恶意软件,最终在计算机上留下后门,对数据安全造成极大的威胁。附录
Hash
C&C
76.72.173.69stomnsco.com
