首页 >> 网络安全 >>病毒分析 >> Asruex Backdoor Variant通过旧的MS Office和Adobe漏洞感染Word文档和PDF
详细内容

Asruex Backdoor Variant通过旧的MS Office和Adobe漏洞感染Word文档和PDF

自从它于2015年首次出现以来,Asruex以其后门功能和与间谍软件DarkHotel的连接而闻名。然而,当我们在PDF文件中遇到Asruex时,我们发现恶意软件的变体也可以充当传感器,特别是通过使用旧的漏洞CVE-2012-0158和CVE-2010-2883,它们在Word中注入代码并且分别是PDF文件。


使用旧的修补漏洞可能暗示该变体的设计知道它可以影响使用旧版Adobe Reader(版本9.x至9.4之前)和Acrobat(版本8.x至8.2之前)的目标.5)在Windows和Mac OS X上。


由于这种独特的感染能力,安全研究人员可能不会考虑检查Asruex感染的文件,并继续专注于其后门能力。意识到这种新的感染方法可以帮助用户抵御恶意软件变种。


技术细节

Asruex通过具有PowerShell下载脚本的快捷方式文件感染系统,并通过可移动驱动器和网络驱动器进行传播。下图说明了恶意软件的感染链。

1.jpg

图1. Asruex的感染链


受感染的PDF文件

我们首先将此变体视为PDF文件。进一步调查显示,PDF文件本身并非由此变体背后的演员创建的恶意文件。它只是一个被Asruex变种感染的文件。


如果使用旧版本的Adobe Reader和Adobe Acrobat执行,受感染的PDF文件将丢弃并在后台执行感染器。在这样做时,它仍然显示或打开原始PDF主机文件的内容。这使得用户相信PDF已经正常运行。


此行为是由于特制模板在附加主机文件时利用了CVE-2010-2883漏洞。该漏洞可以在Adobe的CoolType.dll的strcat函数中找到,它是一个排版引擎。由于此函数不检查要注册的字体的长度,因此可能导致堆栈缓冲区溢出以执行其shellcode。最后,它使用XOR解密原始PDF主机文件。此过程如下图所示。

2.jpg

图2.变体利用的漏洞

3.jpg

图3.解密原始PDF主机文件

然后它将丢弃并执行检测为Virus.Win32.ASRUEX.A.orig的嵌入式可执行文件,如图4所示。

4.jpg

图4.恶意软件丢弃的嵌入式可执行文件


此可执行文件负责几个反调试和反仿真功能。它检测avast!Sandbox \ WINDOWS \ system32 \ kernel32.dll存在于任何根目录上,作为反调试措施。然后,它会检查以下信息(如下所列),以确定它是否在沙箱环境中运行:

  • 计算机名称和用户名

  • 由加载的模块导出的函数

  • 文件名

  • 运行流程

  • 运行过程的模块版本

  • 磁盘名称中的某些字符串

可执行文件还将DLL c982d2ab066c80f314af80dd5ba37ff9dd99288f(检测为Virus.Win32.ASRUEX.A.orig)注入合法的Windows进程内存。此DLL负责恶意软件的感染和后门功能。它感染文件大小在42,224字节和20,971,520字节之间的文件,可能作为参数来缩小其恶意软件代码可以适合的主机文件。

5.jpg

图5.显示添加过程的屏幕截图

6.jpg

图6.感染者用于感染PDF样本的模板; 可执行文件的文件名突出显示

受感染的Word文档

如前所述,它使用特制模板来利用CVE-2012-0158漏洞感染Word文档。该模板在图7中突出显示。

7.jpg

图7.用于感染Word文档的模板

CVE-2012-0158漏洞允许可能的攻击者通过Word文档或网站远程执行任意代码。与受感染的PDF类似,它会在执行受感染的Word文档文件时在后台删除并执行感染器。同时,它将显示原始DOC主机文件,让用户相信打开的文档是正常的。


受感染的文件将使用XOR来解密原始DOC主机文件,如图8所示。文件将像往常一样打开,唯一的区别在于传感器使用的文件名。它作为rundll32.exe丢弃并执行(图9)。

8.jpg

图8.使用XOR解密原始DOC主机文件

9.jpg

图9.使用不同的文件名来删除和执行infector

受感染的可执行文件

除Word文档和PDF文件外,恶意软件还会感染可执行文件。此Asruex变体压缩并加密原始可执行文件或主机文件,并将其作为其.EBSS部分附加。这允许恶意软件丢弃感染器,同时也像正常一样执行主机文件。对于受感染的可执行文件,删除时感染者使用的文件名是随机分配的,如图11所示。

10.jpg

图10.显示主机文件附加到恶意软件的.EBSS部分的代码

11.jpg

图11.用于丢弃的感染者的随机文件名


结论和安全建议

如前所述,过去的报告已经标记了Asruex的后门功能。发现此特定感染功能有助于为恶意软件变体创建足够的防御。


这个案例值得注意的是它使用了五年前发现(和修补)的漏洞,当时我们已经在野外看到这种恶意软件变种只有一年了。这暗示其背后的网络犯罪分子设计了变体,因为他们知道用户尚未修补或更新到新版本的Adobe Acrobat和Adobe Reader软件。


可以理解,这可能对组织构成挑战,因为更新广泛使用的软件可能导致关键服务器的停机,并且可能成本高昂且耗时。如果修补和更新可能不是一个当前选项,组织可以考虑安全措施,如虚拟补丁,以帮助补充现有的安全措施和补丁管理流程。


通常,用户可以采取必要措施,通过遵循安全最佳实践来抵御类似威胁。我们列出了一些用户可以采取的防御Asruex和类似恶意软件的步骤:

  • 在执行可能存储在其中的任何文件之前,始终扫描可移动驱动器。

  • 避免访问可疑或未知的URL。

  • 打开或下载电子邮件附件时要特别小心,尤其是来自未知或未经请求的电子邮件。


作者:Ian Mercado和Mhica Romero

技术支持: 建站ABC | 管理登录