导语:根据Canthink 络安全攻防实验室的一份 告分析,2017年1至6月,CVE-2017-0199漏洞利用占比70%,位列第一位。该漏洞以RTF文档为载体,伪装性非常强,依然是最为常用的漏洞攻击手段。
知道2017年上半年被利用最多的漏洞是哪个吗?2017年1至6月,CVE-2017-0199漏洞利用占比70%,位列第一位。该漏洞以RTF文档为载体,伪装性非常强,依然是最为常用的漏洞攻击手段。
攻击过程分析
TROJ_CVE20170199.JVU的感染流程
本次攻击从包含附件的 络钓鱼电子邮件中开始,攻击者可以将远程访问工具作为其最终的有效载荷。据观察,攻击的主要对象是电子制造业的公司。
电子邮件样本的内容如下所示:
虽然电子邮件本身提及有关订单请求的内容,但是接收此电子邮件的用户将无法查找附加的业务文档,而是点击PPSM文件时显示以下内容:
利用CVE-2017-0199的PPSX文件的屏幕截图
当恶意PowerPoint演示文件被打开时,它显示文本CVE-2017-8570,这是Office的另外一个漏洞。然而,根据趋势科技的分析,该漏洞其实是CVE-2017-0199。
被恶意代码感染的文件在ppt/slides/_rels/slide1[.]xml[.]rels中触发脚本标记,漏洞利用远程代码运行在hxxp://192[.]166[.]218[.]230:3550/logo[.]doc,这是被攻击者滥用的VPN或托管服务。
嵌入在ppt/slides/_rels/slide1[.]xml[.]rels中的远程恶意代码的有效内容链接
趋势科技的研究人员在实验环境中运行,被感染的PowerPoint在初始化脚本标记后,会并通过PowerPoint动画功能运行远程恶意有效载荷。
从下图可以看出,在成功利用漏洞之后,它将从 上下载文件logo.doc(由趋势科技检测为JS_DLOADER.AUSYVT)。
成功下载logo.doc文件
logo.doc不是doc文件,该文档实际上是一个具有JavaScript代码的XML文件,它运行PowerShell命令来下载并执行称为RATMAN.EXE的文件(趋势科技检测为BKDR_RESCOMS.CA),该执行文件实际上是Command&Control(C&C)服务器的REMCOS远程访问工具的木马版本:hxxp://192[.]166[.]218[.]230:3550/ratman[.]exe,位于波兰。 192[.]166[.]218[.]230地址同时也被托管其他种类的RAT。 然后,RATMAN.EXE连接到C&C服务器 5[.]134[.]116[.]146:3550 进行执行。
Ratman.EXE其实是REMCOS远程访问木马
其实,REMCOS远程访问木马刚开始是一种合法和可定制的远程访问工具,可让用户从世界任何地方控制系统。一旦执行了REMCOS, 络犯罪分子就能够在用户的系统上运行远程命令。该工具的功能可以在下图中的“控制面板”屏幕中看到。该工具的功能非常全面,包括下载和执行命令,键盘记录器,屏幕记录器和摄像头和麦克风的录像机。
虽然REMCOS构建器通常只包括使用UPX和MPRESS的压缩,但是研究人员获取的木马样本使用了一个未知的.NET保护器,其中包含多个保护和混淆,使研究人员更难以进行分析。
样本的混淆代码
下图中未解压的示例中的字符串显示了由它构建的REMCOS客户端的版本。
REMCOS使用加密通信,包括用于其认证和 络流量加密的硬编码密码。因此,为了使RATMAN.EXE与其客户端进行通信,必须相应地设置端口和密码。
最终,由于CVE-2017-0199的检测方法专注于RTF文件,因此使用PPSX 格式允许攻击者逃避防病毒检测。但是,趋势科技确实注意到,微软已经在4月份通过最新安全补丁解决了这个漏洞。
缓解方案
CVE-2017-0199是Office系列办公软件中的一个逻辑漏洞,和常规的内存破坏型漏洞不同,这类漏洞无需复杂的利用手法,直接就可以在office文档中运行任意的恶意脚本,使用起来稳定可靠。微软在今年4月安全更新中对CVE-2017-0199漏洞进行了修复,但安全补丁的修复及防御仍然可以绕过,在7月微软的安全更新中又修复了同样类型的新漏洞CVE-2017-8570。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!