CVE-2017-0199——首個Microsoft Office RTF漏洞

FireEye最近檢測到使用CVE-2017-0199漏洞的惡意Microsoft Office RTF文檔，這是以前從未發現的漏洞。CVE-2017-0199漏洞發布日期為2017年4月11號，受影響系統包括：

Microsoft Office 2016Microsoft Office 2013Microsoft Office 2010Microsoft Office 2007

當用戶打開包含嵌入式漏洞的文檔時，此漏洞允許惡意攻擊者下載並執行包含PowerShell命令的Visual Basic腳本。 FireEye已經觀察到Office文檔利用CVE-2017-0199下載並執行來自不同惡意軟體家族的惡意程序有效載荷。

漏洞修復地址：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

建議大家趕緊升級，因為該漏洞會繞過目前已知的大多數緩解，不過根據我們的研究，目前CVE-2017-0199漏洞似乎還無法繞過然而FireEye的安全防護。

三階段攻擊過程還原

攻擊者通過OLE2對象鏈接與嵌入技術把要嵌入惡意腳本的對象發送到目標用戶的Microsoft Word文檔中。當用戶打開文檔時，winword.exe會向遠程伺服器發出HTTP請求，以檢索惡意HTA文件，伺服器返回的文件是一個帶有嵌入式惡意腳本的假RTF文件。

Winword.exe通過COM對象查找application / hta的文件處理程序，這會導致Microsoft HTA應用程序（mshta.exe）載入並執行惡意腳本。就在這個漏洞公布之前， FireEye已經在觀察到的兩個文檔中，發現了以下惡意行為：

1.有惡意腳本終止winword.exe進程，2.有惡意腳本下載了額外的有效載荷並載入了帶有攻擊誘餌的文件，3.原來的winword.exe進程被終止以隱藏OLE2link生成的用戶提示，如下圖所示：

Visual Basic腳本隱藏了用戶提示

惡意文件1 ——MD5：5ebfd13250dd0408e3de594e419f9e01

FireEye所確認的第一個含有CVE-2017-0199漏洞的惡意文件的攻擊過程總共分三個階段。OLE2通過winword.exe向目標URL發送已經嵌入惡意腳本的文檔，以下載第一階段的惡意HTA文件：

http[:]//46.102.152[.]129/template.doc

一旦下載，惡意的HTA文件由「application/hta」處理程序處理。下圖中，突出顯示的行顯示了第一次下載，其次是附加的惡意有效載荷：

第一階段攻擊過程

一旦下載，模板文件就會被存儲在用戶的臨時Internet文件中，名稱為[?].hta，其中[?]在運行時就已被確定。

Mshta.exe負責處理Content-Type「application / hta」，解析內容和執行腳本，下圖顯示了winword.exe查詢「application / hta」處理程序的CLSID的註冊表值：

Winword查詢註冊表值

Winword.exe向DCOMLaunch服務發出請求，這又導致託管DCOMLaunch的svchost.exe進程執行mshta.exe。然後，Mshta.exe執行嵌入惡意HTA文檔中的腳本，下圖顯示了第一階段下載的VBScript：

第一個文件，第一階段中VBScript

上圖所示的腳本會執行以下惡意操作：

1.使用taskkill.exe終止winword.exe進程，以隱藏圖1所示的提示，2.從http[:]//www.modani[.]com/media/wysiwyg/ww.vbs下載一個VBScript文件，並將其保存到％appdata％ Microsoft Windows maintenance.vbs，3.從 http[:]//www.modani[.]com/media/wysiwyg/questions.doc下載誘餌文件，並將其保存到％temp％ document.doc，4.關閉microsoft 15.0和16.0的彈窗，以便保證Microsoft Word看似正常運行，5.執行惡意階段的兩個VBScript：%appdata%MicrosoftWindowsmaintenance.vbs6.打開誘餌文檔％temp％ document.doc，以隱藏用戶的惡意活動

一旦執行，第二階段下載的VBScript（ww.vbs/maintenance.vbs）將執行以下操作：

1.將嵌入式混淆的腳本寫入％TMP％/ eoobvfwiglhiliqougukgm.js

2.執行腳本

混淆的eoobvfwiglhiliqougukgm.js腳本在執行時執行以下操作：

1.嘗試從系統中刪除自己

2.嘗試下載http[:]//www.modani[.]com/media/wysiwyg/wood.exe（最多44次），並將文件保存到％TMP％ dcihprianeeyirdeuceulx.exe

3.執行％TMP％ dcihprianeeyirdeuceulx.exe

下圖顯示了進程中所發生的執行任務：

進程事件

在這種惡意軟體中使用的最終有效載荷是LATENTBOT惡意軟體家族中最新的一個版本：

第一個文檔的文件元數據

LATENTBOT有效載荷

與第一個文檔相關聯的有效載荷是LATENTBOT惡意軟體家族中最新的一個版本，LatentBot，從2013年年中就開始活躍。它有能力在不被察覺的情況下監視用戶，可以破壞硬碟甚至破壞計算機，隱蔽是它的其中的一個特點，LATENTBOT的惡意代碼在內存中的時間十分短暫，所以至今 LATENTBOT也不為安全專家所了解。

出LATENTBOT的一些主要特性如下：

1.多層混淆2.內存中解密用的字元串用後即刪3.在不同的桌面影藏應用4.主引導記錄(MBR)清除功能5.與贖金鎖(Ransomlock)類似的鎖定桌面功能6.隱藏VNC連接7.模塊化設計,在受害者機器上可輕鬆進行更新8.十分隱蔽的反彈通信量,APIs,註冊表鍵值以及其他一些動態解密指示9.將Pony惡意軟體作為其中一個模塊竊取信息

較新版本的LATENTBOT具有用於Windows XP（x86）和Windows 7操作系統的不同注入機制：

1.Attrib.exe修補：LATENTBOT木馬會調用Attrib.exe，修補內存中的條目，並插入一個JMP指令將控制項傳輸到映射部分。要在atrrib.exe的地址空間中映射該部分，就要使用ZwMapViewOfSection（），

2.Svchost代碼注入：Attrib.exe以掛起模式啟動svchost.exe進程，創建空間，並通過調用ZwMapViewOfSection（）分配代碼，

3.控制傳輸：然後使用SetThreadContext（）修改主線程的OEP，這將在遠程進程中執行以觸發代碼執行，

4.瀏覽器注入：在NtMapVIewOfSection（）的幫助下將最終的有效載荷注入默認的Web瀏覽器。

在Windows 7或更高版本的操作系統中，LATENTBOT木馬不使用attrib.exe。而是將代碼注入到svchost.exe中，然後通過利用NtMapViewOfSection（）啟動具有惡意有效載荷的默認瀏覽器。然後連接到以下命令和控制（C2）伺服器：

在與C2伺服器成功連接後，LATENTBOT會生成一個信標。其中一個解密的信標如下，更新版本號為5015：

在分析時，C2伺服器處於離線狀態，LATENTBOT具有高度模塊化的插件架構。截至2017年4月10日， www.modani[.]com/media/wysiwyg/wood.exe上託管的惡意軟體已更新，C2伺服器已移至 217.12.203[.]100。

惡意文件2 - （MD5：C10DABB05A38EDD8A9A0DDDA1C9AF10E）

FireEye識別出的第二個惡意文件包括兩個惡意攻擊階段，在第一個階段中，惡意程序會到以下網址下載階段一所需的惡意HTA文件：

http[:]//95.141.38[.]110/mo/dnr/tmp/template.doc

該文件會下載到用戶的臨時Internet文件目錄中，名稱為[?].hta，其中[?]在運行時已經被確定。一旦下載，winword.exe就會使用mshta.exe解析該文件。 mshta.exe通過文件查找 標籤進行解析，並執行包含的腳本，如下圖所示：

第二個文件，第一階段中的VBScript

從上圖中，我們可以看到以下6個惡意操作：

1.使用taskkill.exe終止winword.exe進程，以隱藏圖1所示的提示，2.從 http[:]//95.141.38[.]110/mo/dnr/copy.jpg下載可執行文件，將其保存到%appdata%MicrosoftWindowsStart MenuProgramsStartupwinword.exe3.從http[:]//95.141.38[.]110/mo/dnr/docu.doc下載文檔，將其保存到％temp％ document.doc4.清理Word版本15.0和16.0的Word Resiliency key，以便Microsoft Word將正常重新啟動5.在%appdata%MicrosoftWindowsStart MenuProgramsStartupwinword.exe中執行惡意的負載6.打開誘餌文檔%temp%document.doc，以隱藏用戶的惡意活動

檢查惡意的有效載荷顯示，它是被它是被微軟稱為WingBird的注入器的一個變體，它具有與FinFisher類似的特性。這個惡意軟體在經過複雜的混淆處理後，已經具有了多種反分析措施，包括自定義虛擬機以緩慢分析：

第二個文件元數據

具FireEye的觀察到，CVE-2017-0199是Microsoft Word中的一個漏洞，允許攻擊者執行惡意的Visual Basic腳本。由於 CVE-2017-0199漏洞是由一個邏輯錯誤引起的，可以繞過了大多安全產品的防護緩解。CVE-2017-0199漏洞在執行惡意腳本後，會下載並執行惡意的有效載荷，並向受害者發送誘餌文件。

以下這兩個文件都可以實現其惡意有效載荷的執行，其中一個包含LATENTBOT，另一個包含WingBird/FinFisher。實際上，這個惡意文件中只含有一個指向攻擊者控制的伺服器的鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！