安全預警：PowerPoint被用作攻擊媒介來下載惡意軟體

新聞 08-17

根據趨勢科技的最新跟蹤分析，近日網路犯罪分子通過微軟PowerPoint利用Windows對象鏈接嵌入（OLE）界面中的一個漏洞來安裝惡意軟體（由趨勢科技檢測為TROJ_CVE20170199.JVU）。該介面通常被惡意RTF文件（RTF）文件利用，比如，今年早些時候發現的DRIDEX銀行木馬就是使用的該方法。而本次的攻擊從包含附件的網路釣魚電子郵件中開始，惡意軟體偽裝成PPSX文件。這是一種僅允許播放幻燈片的PowerPoint文件，不可編輯。開始感染主機後，惡意代碼會通過PowerPoint動畫而運行。

攻擊過程分析

TROJ_CVE20170199.JVU的感染流程

本次攻擊從包含附件的網路釣魚電子郵件中開始，攻擊者可以將遠程訪問工具作為其最終的有效載荷。據觀察，攻擊的主要對象是電子製造業的公司。

電子郵件樣本的內容如下所示：

雖然電子郵件本身提及有關訂單請求的內容，但是接收此電子郵件的用戶將無法查找附加的業務文檔，而是點擊PPSM文件時顯示以下內容：

利用CVE-2017-0199的PPSX文件的屏幕截圖

當惡意PowerPoint演示文件被打開時，它顯示文本CVE-2017-8570，這是Office的另外一個漏洞。然而，根據趨勢科技的分析，該漏洞其實是CVE-2017-0199。

被惡意代碼感染的文件在ppt/slides/_rels/slide1[.]xml[.]rels中觸髮腳本標記，漏洞利用遠程代碼運行在hxxp://192[.]166[.]218[.]230:3550/logo[.]doc，這是被攻擊者濫用的VPN或託管服務。

嵌入在ppt/slides/_rels/slide1[.]xml[.]rels中的遠程惡意代碼的有效內容鏈接

趨勢科技的研究人員在實驗環境中運行，被感染的PowerPoint在初始化腳本標記後，會並通過PowerPoint動畫功能運行遠程惡意有效載荷。

從下圖可以看出，在成功利用漏洞之後，它將從網上下載文件logo.doc（由趨勢科技檢測為JS_DLOADER.AUSYVT）。

成功下載logo.doc文件

logo.doc不是doc文件，該文檔實際上是一個具有JavaScript代碼的XML文件，它運行PowerShell命令來下載並執行稱為RATMAN.EXE的文件（趨勢科技檢測為BKDR_RESCOMS.CA），該執行文件實際上是Command＆Control（C＆C）伺服器的REMCOS遠程訪問工具的木馬版本：hxxp://192[.]166[.]218[.]230:3550/ratman[.]exe，位於波蘭。 192[.]166[.]218[.]230地址同時也被託管其他種類的RAT。然後，RATMAN.EXE連接到C＆C伺服器 5[.]134[.]116[.]146:3550 進行執行。

Ratman.EXE其實是REMCOS遠程訪問木馬

其實，REMCOS遠程訪問木馬剛開始是一種合法和可定製的遠程訪問工具，可讓用戶從世界任何地方控制系統。一旦執行了REMCOS，網路犯罪分子就能夠在用戶的系統上運行遠程命令。該工具的功能可以在下圖中的「控制面板」屏幕中看到。該工具的功能非常全面，包括下載和執行命令，鍵盤記錄器，屏幕記錄器和攝像頭和麥克風的錄像機。

雖然REMCOS構建器通常只包括使用UPX和MPRESS的壓縮，但是研究人員獲取的木馬樣本使用了一個未知的.NET保護器，其中包含多個保護和混淆，使研究人員更難以進行分析。

樣本的混淆代碼

下圖中未解壓的示例中的字元串顯示了由它構建的REMCOS客戶端的版本。

REMCOS使用加密通信，包括用於其認證和網路流量加密的硬編碼密碼。因此，為了使RATMAN.EXE與其客戶端進行通信，必須相應地設置埠和密碼。

最終，由於CVE-2017-0199的檢測方法專註於RTF文件，因此使用PPSX 格式允許攻擊者逃避防病毒檢測。但是，趨勢科技確實注意到，微軟已經在4月份通過最新安全補丁解決了這個漏洞。

緩解方案

有本文的分析可以看出，用戶在打開文件或點擊郵件中的鏈接時要格外謹慎，即使它們的來源是通過正規渠道。網路釣魚的攻擊防不勝防，如本文所示，利用PPT可能會欺騙大多數用戶下載惡意文件。除此之外，用戶還應該始終使用最新的安全更新。

CVE-2017-0199是Office系列辦公軟體中的一個邏輯漏洞，和常規的內存破壞型漏洞不同，這類漏洞無需複雜的利用手法，直接就可以在office文檔中運行任意的惡意腳本，使用起來穩定可靠。微軟在今年4月安全更新中對CVE-2017-0199漏洞進行了修復，但安全補丁的修復及防禦仍然可以繞過，在7月微軟的安全更新中又修復了同樣類型的新漏洞CVE-2017-8570。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

※聽老外講解如何將XSS轉化為RCE
※Rapid7警告聲明：遠程桌面協議暴露數百萬 Windows 終端
※輕鬆審計代碼安全性，Windows 10有妙招
※只因更新固件推送出錯 Lockstate智能鎖秒變磚
※教你如何使用分組密碼對shellcode中的windows api字元串進行加密

TAG:嘶吼RoarTalk |

您可能感興趣

※PanoMoments是一種沉浸式即時敘事媒介，被稱為「VR的GIF動圖」
※AppLovin媒介部 Lion Studios成立，助力中國移動應用成功出海
※南瓜的自白，Anthea Hamilton 跨媒介新展
※Kantar Media發布DIMENSION 2018報告——媒介有效性及受眾廣告行為變化調研報告
※JimSoup：設計是我和其他人的媒介
※vaaaooo，一個獨有半分鐘力量的情感媒介
※毛不易代言霸王洗髮水，紐約時報成立 in-house 媒介團隊
※如何對交易媒介類token進行估值？
※Spark AR採訪：充當媒介工具，5年後移動AR大爆發
※Vipassana 抽離現實 | 玩轉混合媒介的宗教實驗短片
※Adobe正式宣布啟動AR技術作為藝術創新的新媒介
※美媒介紹IARPA機器學習研究現狀
※MIT研究員破解水下-空中通訊障礙「以毒攻毒」將障礙轉化為通訊媒介
※匡威召集全球媒介業務比稿，PHD不再參加捍衛
※COC CUBE 小王：「互聯網是我們這代人避免不了的文化土壤，希望通過服裝媒介做出更多表達和內容輸出」
※移動AR不是真正的AR，但會成為一種新的獨特的媒介
※潮展覽 | CONDO 上海，多樣化藝術媒介的融合
※媒介碎片化時代的大屏破局，阿里OTT營銷價值凸顯
※造星、圈粉、互聯網媒介，CBA開始革新
※小米營銷「NewX」：新技術、新媒介、新內容