在这篇文章中,我们看一看微软Word文档,它本身有点干净,但被用来发动依赖OpenXML格式的超链接特性的多级攻击。然后加载另一个包含漏洞利用的文档。
大多数恶意Microsoft Office文档涉及宏,嵌入式脚本或漏洞,通常通过电子邮件传递。在这种情况下,打开诱饵Word文档的毫无戒心的用户将触发自动(无需点击或交互)下载部署Exproit(CVE-2017-8759)的恶意RTF文件,最终分发了最终恶意软件有效载荷。
几步删除的有效载荷是商业远程管理工具,在这种情况下,用于臭名昭着的目的。当感染过程发生在后台时,受害者将是无与伦特的,而他们的单词文件最终加载了类似的合法内容。
虽然攻击者可能首先发送了带有漏洞的文档,但这可能触发了电子邮件网关的检测和隔离。相反,这个善意的文件就像特洛伊木马一样,进入了最终用户的桌面,最终显示出它的真正意图。
下图总结了这种攻击所采取的不同步骤,从原始文档一直到恶意软件有效负载。
最初的方案
初始文件报告@xme.在推特.快速检查使用oletools表示文件为OpenXML格式且没有宏。
文件:Product Description.docx类型:OpenXML未找到VBA宏。
由于OpenXML文件是归档,因此它们可以解压缩以显示其内容。
[CONTENT_TYPES] . xml _RELS /。rel词/ _RELS / DOCUMENT.XML。rel词/ /媒体/ IMAGE1 DOCUMENT.XML词。word / theme / theme . xml word / settings.xml word / websettings.xml word / styleswiththeeffects . xml docprops / core.xml word / styles.xml word / fontable . xml docprops / app.xml
开放document.xml.rels.揭示一个有趣的外部URL,指向另一个文件。
与的关系Id = " rID6 "由主要装载document.xml文件。如果我们在没有网络连接的情况下打开文档(以防止自动执行),我们可以找到这个对象的位置。
实际漏洞:CVE-2017-8759
远程文件saqlyf.doc.下载并打开产品Description.docx进入临时Internet文件文件夹。
这次,它是一个RTF文件。
将十六进制编码转换为二进制编码后(oledump.),我们可以发现另一个有趣的URL。
此时,如果服务器提供了应用程序/hta的MIME类型响应,我们可以查看CVE-2017-0199。但在这种情况下,我们有不同的东西,我们可以很快发现中与soap有关错误cve - 2017 - 8759。
上面的代码将解析并执行oghujp.hta文件如下图所示。
讨厌的一点是编码的CHRW.但我们可以让VBScript来做这些工作,并以人类可读的方式输出。
这是开发阶段的最后一部分,它涉及到运行PowerShell来下载和运行二进制文件。
攻击有效载荷:RAT
此攻击旨在安装称为Orcus RAT的商业远程管理工具,如前所述也被托管在包含漏洞利用的同一服务器上。该程序是用.NET编写的,包含键盘,远程桌面或访问网络摄像头等函数。
该文件被隐藏为mozilla.exe并定期检查其指挥和控制基础设施。
虽然商业大鼠可用于合法目的,但恶意演员通常会为自己的险恶目标滥用它们。
转移
部分恶意vbscript在向用户显示的飞行中创建虚假文档。如果仔细调整,您会注意到该文件被调用文件1,因此它是原始文件的附加文件产品Description.docx一。它还包含太多字样(但这是另一天的辩论)。
攻击基础设施
这种攻击中使用的漏洞和有效载荷来自于一个免费的文件托管站点pomf。猫。
粗略地看一下这个网站,就会发现许多其他恶意文件也托管在这个平台上。我们已经联系过了,要求删除这些违规文件。
保护
这种类型的攻击依赖一点社会工程来欺骗用户打开一个Word文档,而其余的则由一个漏洞来处理打补丁的就在一个月前。如果没有及时地应用这些更新,很可能很多机器仍然容易受到攻击。
由于其相对良性的性质,扫描网关上的原始文档可能不会返回任何内容,这就是为什么在终点的保护是如此重要的原因。这些天越来越多的攻击是模块化的,并在飞行中检索有效载荷以逃避检测。
必威平台APP恶意软件字节的用户已经受到了保护。此外,我们检测到RAT为Backdoor.NanoCore。
妥协指标
初始文档(Product Description.docx)
01E45E5647F103CCC99311066D0625F24E79C8462B131D026B7A557A18D7616
RTF (cve - 2017 - 8759)
a.pomf.cat/saqlyf.doc 5758C31928C5F962FBB3EC2D07130E189A8CF4F3FBD0CD606CB1C1D165334A1C.
PNG(CVE-2017-8759)
a.pomf.cat/uczmbn.png 5ed4582313d593a183ab0b8889dc3833c382ce9ca810287d0fcf982275b55e60
HTA(CVE-2017-8759)
a.pomf.cat / oghujp。在hta b048a2d2ea3bb552ac6e79e37fc74576a50c79b4d8c9fd73b1276baabc465ebf
有效负载(老鼠)
A.POMF.CAT/AQZHNK.EXE 72041B65777A527667E73CCC5DF95296F182E4787F4A349FCE0220961DD0ED2
注释