Kate Li (Taiwan)的部落格

首頁

windows zero分析

作者 sebastiani 時間 2020-03-04
all

在週二發佈微軟的月度補丁之前,iSight報告了一個新的零日漏洞,該漏洞包含在CVE-2014-4114中。上述漏洞會影響Vista和Sever 2008的案頭和服務器版本到當前版本。據信,這與俄羅斯網絡間諜組織發動的與北約有關的網絡攻擊有關。

根據我們的分析,該漏洞存在於PACKAGER.DLL中,它是Windows對象連結和嵌入(OLE)内容的一部分。通過使用精心編制的PowerPoint檔案,嵌入OLE對象中的.INF檔案可以從遠程SMB共亯資料夾複製並安裝在系統上。攻擊者可以利用此邏輯缺陷執行另一個惡意軟件,該惡意軟件通過相同的方法下載。

該漏洞的嚴重性非常關鍵,因為它很容易被利用。由於這是一個邏輯缺陷,攻擊者無需創建外殼程式碼或面向返回的程式設計(ROP),這是一種繞過DEP保護的方法。DEP防止從電腦記憶體的某些區域(不可執行)執行程式碼(包括惡意外殼程式碼)。如果攻擊者知道格式,則可以直接利用PowerPoint進行攻擊。此外,由於它沒有堆噴塗、ROP和外殼程式碼,大多數啟發式檢測方法都很難檢測到它。

原始邏輯包括兩種未經用戶知情或同意的潜在危險行為,應仔細設計:

我們分析了PPSX樣本(MD5 hash:330e8d23ab82e8a0ca6d166755408eb1)來研究它是如何發生的。我們解壓縮.PPSX檔案以查看此PPT攻擊的內容檔案,如下所示:

圖1。PPSX檔案的資料夾結構

以下是oleObject1.bin和oleObject2.bin的內容。它表示所述OLE對象駐留在遠程共亯資料夾中。

圖2-3 oleObject1.bin和oleObject2.bin的內容

在slide1.xml中,我們可以看到它引用了兩個Packager Shell對象“rId4”和“rId5”

圖4。slide1.xml的內容(第1部分)

在slide1.xml.resl中,“rId4”和“rId5”被定義為上面的兩個OLE對象。

圖5。slide1.xml.resl的內容

打開slide1時,packager.dll會將檔案“slide1.gif”和“slides.inf”複製到本地。在slide1.xml中,一些操作被描述為“-3”,另一個是“3”。加載兩個OLE對象時調用這兩個操作。這個程式可以在packager中看到!CPackage::DoVerb()函數。

圖6。slide1.xml的內容(第2部分)

在slide1.gif中,如果參數為“-3”,則函數將不執行任何操作。但是,如果加載了“slides.inf”並且參數為“3”,則會安裝.inf檔案。下麵的螢幕截圖是執行infdaultinstall.exe時的調用堆棧:

圖7。INF安裝的調用堆棧

之後,INF將slide1.gif重命名為slide1.gif.exe,並為其添加註冊表runonce值。這樣做是為了在下次系統啟動時自動執行特洛伊木馬程式。

我們以TROJ_MDLOAD.PGTY的身份檢測到該漏洞,當成功利用該漏洞時,將導致下載INF_BLACKEN.A。另一方面,這個惡意軟體下載並執行後門程式,我們將其檢測為BKDR_BLACKEN.A。

由於此漏洞不難利用,攻擊者可能會濫用此漏洞來創建新的惡意軟件負載。Trend Micro通過其智慧保護網絡檢測漏洞和惡意軟件負載,確保用戶免受此威脅。Trend Micro Deep Security和Office Scan with the Intrusion Defense Firewall(IDF)plugin通過以下DPI規則保護用戶系統免受可能利用此漏洞的威脅:

強烈建議用戶在Microsoft發佈安全更新後修補其系統。此外,建議用戶和員工不要打開來自未知來源的Powerpoint檔案,因為這可能會導致一系列惡意軟件感染。

截至2014年10月15日晚上11:30更新:

微軟在2014年10月的週二補丁中加入了沙蟲漏洞的補丁。

截至2014年10月16日下午5:45更新:

沙蟲漏洞與針對特定SCADA系統的攻擊有關。請在我們的文章《從沙蟲到黑屏:SCADA連接》中閱讀更多資訊。

加上啟宇的分析