首页 >> 网络安全 >>漏洞分析 >> PowerPoint文件配备CVE-2017-0199和UAC绕过
详细内容

PowerPoint文件配备CVE-2017-0199和UAC绕过

时间:2020-08-23     【转载】   阅读

1.png

FortiGuard Labs最近发现了一个新的恶意PowerPoint文件,名称为ADVANCED DIPLOMATIC PROTOCOL AND ETIQUETTE SUMMIT.ppsx。看一下PowerPoint Open XML幻灯片显示(PPSX)文件的四张幻灯片,我们可以看出它以联合国机构,外交部,国际组织以及与国际政府互动的人员为目标。


我们将研究如何打开此PowerPoint文件可能危害您的系统。


以下是有关攻击方式的概述:

2.png

图01:攻击流程


CVE-2017-0199

此漏洞利用的目标漏洞为CVE-2017-0199,该漏洞于2017年4月披露并修补。它在解析特制文件时触发Microsoft Office或WordPad中的远程代码执行。成功利用Microsoft Office的Windows对象链接和嵌入(OLE)界面中的此漏洞的攻击者可以控制受影响的系统。Wayne Low在此很好地解释了此漏洞。


这不是我们第一次看到攻击者利用此漏洞。我们在以前的恶意幻灯片放映文件中看到了该文件,该文件提供了REMCOS RAT恶意软件。但是,此攻击不应与PowerPoint文件利用混淆,后者利用鼠标悬停操作来利用ppaction:// protocol启动PowerShell命令。


打开最新的恶意PowerPoint幻灯片放映时,它将触发ppt / slides / _rels / slide1.xml.rels中的脚本。然后,该漏洞利用程序在其目标 hxxp:// www [。] narrowbabwe [。] net:3345 / exp [。] doc上下载远程代码,如下所示,并使用PowerPoint Show动画功能运行该代码。精心制作的文件在目标之后还包含许多空白,可用于避免检测YARA。(YARA是一种恶意软件研究和检测工具。)

3.png

图02:利用CVE-2017-0199的PPSX文件

当我们在执行此文件时观察网络流量时,可以看到特制文件成功利用了该漏洞,并下载并执行了exp.doc文件。这不是doc文件,而是带有JavaScript代码的XML文件。

4.png

图03:来自PPSX文件的网络流量

UAC绕过和特权升级

当我们从XML文件提取JavaScript时,我们可以看到它将在%Temp%\ Microsoft_Office_Patch_KB2817430.jse中写入一个文件。文件名模仿Microsoft Office修补程序的文件名以降低怀疑,并尝试显示它是合法文件,但显然不是。

5.png

图04:XML文件中的嵌入式JavaScript

该样本不仅使用漏洞利用,还包括一种臭名昭著的技术,该技术可以绕过Microsoft Windows的UAC安全性,然后以高特权执行自己。更高的特权等于更多的权限,并允许对系统执行更多操作。


UAC绕过技术包括在HKCU \ software \ classes \ mscfile \ shell \ open \ command中劫持注册表,然后执行eventvwr.exe。您可以在此处阅读有关此UAC绕过和特权升级技术的更多信息。

6.png

图05:为UAC旁路添加了注册表

JavaScript分析

以高特权执行的已删除Microsoft_Office_Patch_KB2817430.jse恶意软件包含以下代码。 

7.png

图06:删除了Microsoft_Office_Patch_KB2817430.jse文件

在上面的代码中,WMI ActiveScriptConsumers用于持久性。还创建了一个计时器事件,因此脚本每12秒(12000毫秒)运行一次。运行它的脚本被编码并作为注释存储在其主体内。

8.png

图07:解码后的脚本

从JPG文件获取C&C服务器

解码注释中的代码后,脚本将读取以下注册表,如果它们不存在,它将创建它们。

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet设置\用户代理\ Seed0

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet设置\用户代理\ Feed0

9.png

图08:注册表Feed0和Seed0

从Microsoft_Office_Patch_KB2817430.jse文件对写入注册表项Feed0中的数据进行硬编码。解码后,其值为hxxp:// narrowbabwe [。] net / comsary / logo [。] jpg。


该脚本将继续连接到该URL。但是在我们的分析中,它不再响应。尝试在Google中进行快速搜索,由于VirusTotal,我们能够检索/logo.jpg文件。

10.png

图09:篡改的jpg文件

现在我们有了/logo.jpg,我们可以继续分析样本了。首先,我们注意到jpg文件存在损坏的部分。这可能意味着攻击者篡改了原始照片以隐藏一些数据。由于jpg文件通常被认为是非恶意的,因此这是一种非常有效的隐藏消息/数据的技术。

11.png

图10:检索隐藏数据的代码

检查代码,我们发现它获得了Response_Text的长度或文件的末尾,然后减去0x80h,这可能是编码数据的开始。如上所示,“ if”语句与jpg文件中具有值9、5、2和7的硬编码标记进行比较。如果不满足此条件,它将不返回任何内容。但是,如果找到了标记,它将从偏移量i中获得substr,其长度为44个字符,这将是编码的URL。

12.png

图11:篡改数据

编码的URL将写在注册表/ Seed0中,并且在解码时的值为hxxp:// www [。] narrowbabwe [。] net / comsary / index [。] php。

13.png

图12:Seed0注册表项

C&C沟通

接下来,它尝试通过获取网络适配器配置并搜索是否存在字符串'Virtual'来识别它是否在虚拟环境中运行。

14.png

图13:检查虚拟环境

有趣的是,将要发送的数据取决于是否找到“虚拟”字符串。比较两者,如果找不到该字符串,则收集的数据将包括受感染机器的&ipaddr和&macaddr。

15.png

图14:从机器收集的信息

收集了所需的信息后,它将对数据进行编码,并通过HTTP POST将其发送到hxxp:// www [。] narrowbabwe [。] net / comsary / index [。] php。

 16.png

15:HTTP POST到C&C

发送数据的格式如下所示。

17.png

图16:要发送的编码数据

不幸的是,在我们的分析过程中,C&C已经下降,因此没有任何响应。但是,我们仍然可以从下面的代码中确认C&C的响应包含使用eval()函数执行的任意命令。这些命令可能是提供最终有效负载的下载功能,而用于间谍活动的最常用恶意软件是RAT(远程访问木马)。

18.png

图17:命令和结果执行

一旦从C&C执行命令,它将使用以下HTTP POST查询字符串格式将通知发送回服务器:

19.png

图18:命令结果POST通知


结论

我们的分析表明,此代码中实施了多种技术,以逃避检测并保持有效。此类技术利用CVE-2017-0199,UAC绕过和特权提升,多个嵌入式编码脚本,URL连接的多个阶段以及将C&C嵌入jpg文件中。这显示出犯罪分子在制作恶意文件时会表现得多么顽强。


特别感谢您对我们的队友Tien Phan,Tony Loi和Joie Salvio进行的其他分析


  • 应用Microsoft在4月发布的涵盖CVE-2017-0199漏洞的补丁。

  • FortiGuard防病毒服务将此威胁检测为MSOffice / Downloader!exploit.CVE20170199

  • FortiGuard Web过滤服务会阻止所有C&C和相关URL。

  • FortiSandbox将PPSX文件评为“高风险”。


国际奥委会:

8e89ae80ea50110244f2293f14615a7699b1c5d2a70415a676aa4588117ad9a7 – PPSX


CC:

hxxp:// www [。] narrowbabwe [。] net / comsary / logo [。] jpg

hxxp:// www [。] narrowbabwe [。] net:3345 / exp [。] doc

hxxp:// www [。] narrowbabwe [。] net / comsary / index [。] php


技术支持: 建站ABC | 管理登录