Asruex後門變種通過Office和Adobe漏洞感染word和PDF文檔

研究人員早在2015年就發現了Asruex後門，而且與DarkHotel監控惡意軟體有關聯。研究人員最近在PDF文件中發現了Asruex，經過分析發現惡意軟體變種通過CVE-2012-0158和CVE-2010-2883漏洞作為感染器來將代碼注入word和PDF文件中。

使用老的已經修復的漏洞表明該變種的目標是Windows和Mac OS X系統上使用老版本Adobe Reader（versions 9.4之前版本）和Acrobat（v 8.2.5之前版本）的用戶。

因為其獨特的感染能力，安全研究人員可能不會考慮檢查Asruex感染的文件，並持續監控後門的能力。了解了新感染方法可以幫助應對此惡意軟體變種。

技術細節

Asruex是通過快捷方式文件感染系統，該快捷方式文件有一個PowerShell下載腳本，通過可刪除驅動和網路驅動進行傳播。下圖是惡意軟體的感染鏈：

圖1. Asruex感染鏈

受感染的PDF文件

研究人員第一個遇到該變種是一個PDF文件。進一步分析表明該PDF文件並不是惡意文件，而是Asruex變種感染的文件。

受感染的PDF文件如果在老版本的Adobe Reader或Adobe Acrobat中打開，就會在後台釋放和執行感染器。也會展示或打開原始PDF文件的內容，使用戶相信PDF文件正常打開和顯示了。

該漏洞位於Adobe CoolType.dll文件的strcat函數。因為該函數沒有檢查要註冊的字體的長度，以引發棧緩存溢出來執行shellcode。最後，用XOR解密原始PDF host文件。過程如下圖所述：

圖2. 變種利用的漏洞

圖3. 解密的原始PDF主機文件

然後釋放和執行嵌入的可執行文件，如圖4。

圖4.惡意軟體釋放的嵌入可執行文件

可執行文件負責多個反分析和反模擬功能。檢查根目錄下是否存在avast! Sandbox\WINDOWS\system32\kernel32.dll，然後檢查下面的信息來確定是否運行在沙箱環境中運行：

·計算機名和用戶名

·載入的模塊導出的函數

·文件名

·運行的進程

·運行的進程的模塊版本

·磁碟名中的特定字元串

可執行文件還會注入DLL c982d2ab066c80f314af80dd5ba37ff9dd99288f (Virus.Win32.ASRUEX.A.orig)到合法的Windows進程內容中。DLL負責惡意軟體的感染和後門功能。還會感染42224位元組到20971520位元組大小範圍內的文件，作為一個參數來減小惡意軟體代碼適配的host文件的範圍。

圖5. 表示添加的進程的截圖

圖6. 感染器用來感染PDF樣本的模板，可執行文件的文件名高亮顯示

受感染的word文件

如前所述，惡意軟體用精心偽造的模板來利用CVE-2012-0158漏洞來感染word文件，模板如圖7所示：

圖7. 用來感染word文檔的模板

CVE-2012-0158漏洞允許攻擊者通過word文件或web站點來遠程執行任意代碼。與受感染的PDF文件類似，惡意軟體會在後台釋放和執行感染器。同時，還會顯示原始的doc host文件，讓用戶相信打開的文檔是正常的。

受感染的文件會用OXR解密原始的DOC host文件，如圖8所示。該文件會正常打開，只有在文件名方面有一點點不同。惡意軟體會以rundll32.exe的形式釋放和執行，如圖9所示。

圖8. 使用XOR來解密原始的DOC host文件

圖9. 用不同的文件名來釋放和執行感染器

受感染的可執行文件

除了word文件和PDF文件外，惡意軟體會感染可執行文件。Asruex變種會壓縮和加密原始的可執行文件或host文件，並加到.EBSS section。這樣惡意軟體就可以釋放感染器，並正常地執行host文件。對受感染的可執行文件來說，感染器在釋放時使用的文件名是隨機分配的，如圖11所示：

圖10. Host文件加到惡意軟體的.EBSS section的代碼

圖11. 用作釋放的感染器的隨機文件名

結論

之前就有關於Asruex後門能力的分析。這種特殊的感染能力可以幫助創建關於惡意軟體變種的防護。該變種使用的漏洞已經被發現5年之久，而研究人員發現該變種不超過一年。也就是說該變種攻擊的目標就是那些使用未更新的Adobe Acrobat和Adobe Reader版本的用戶。

研究人員建議用戶按照以下步驟來應對Asruex和類似的軟體：

·在打開移動硬碟或U盤中的文件前先掃描。

·盡量不要訪問可疑或未知來源的URL。

·在打開或下載郵件附件時，要特別小心，尤其是來自未知來源的郵件。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！