- Dołączył
- 26 Maj 2015
- Posty
- 19181
- Reakcje/Polubienia
- 55810
źródło:Na blogu producenta Avira pojawiła się interesująca analiza złośliwego oprogramowania, obok której trudno przejść obojętnie. W przeanalizowanym pliku PO.doc z kampanii phishingowej nie znaleziono śladów poleceń makr ani żadnej innej funkcjonalności, która byłaby w stanie pobierać i uruchamiać złośliwe oprogramowanie. Z nietechnicznego punktu widzenia złośliwa zawartość mimo wszystko jest dostarczana i uruchamiana bez interakcji z użytkownikiem. Z kolei z technicznego punktu widzenia eksperci opisali, w jaki sposób zbudowany jest dokument i co w nim znaleźli. Najciekawsza jest dwuetapowa dostawa niebezpiecznych danych, która wykorzystywała dwie różne luki w pakiecie Office 2016 lub starszych wersjach. Oba exploity są połączone razem. Ponadto autorzy tego szkodliwego oprogramowania utrudnili badaczom klasyfikowanie exploitów, ukrywając pewne części kodu. Jako że wiele osób korzysta z pakietu Office, exploity te mogą zagrozić większości użytkowników komputerów.
Analizowana pierwsza podatność:
Analiza pliku PO.doc rozpoczyna się od uruchomienia kilku narzędzi: VipreMonkey (emulatora kodu VBA). Wynik w konsoli niczego podejrzanego nie wykazuje. Makra nie zostały znalezione:
Następnie uruchomiono narządzie OfficeMalScanner, które służy do skanowania dokumentów Office pod kątem osadzonych obiektów OLE i osadzonego kodu powłoki. I znowu z pozoru narzędzie niczego konkretnego nie znalazło:
Automatyczna analiza ujawniła zawartość XML w pliku PO.doc, co pomogło w poszukiwaniu złośliwych śladów malware. Załączanie XML do dokumentów Office jest znaną funkcją firmy Microsoft, która umożliwia osadzanie i łączenie różnych typów dokumentów. W jednym z osadzonych plików XML znaleziono adres WWW, o którym VirusTotal już mógł coś powiedzieć. URL wskazuje na pobieranie kolejnego dokumentu z rozszerzeniem .doc.
Zaszyty XML w DOC i złośliwy adres URL kierujący do pobrania drugiego pliku DOC.
Adres URL miał niską wykrywalność na VirusTotal:
Chociaż VirusTotal nie nadaje się do porównywania wykrywalności pakietów bezpieczeństwa, ponieważ zawiera różniące się silniki, w tym jest pozbawiony większości ważnych funkcjonalności w porównaniu do antywirusów zainstalowanych na komputerach, to jako serwis do sprawdzania bezpieczeństwa plików i linków, może pomóc badaczom w szybszym ustaleniu złośliwych danych.
Drugi plik z rozszerzeniem .doc zawierał exploita CVE-2017-8759 i nie wymagał interakcji ze strony użytkownika do dostarczenia i uruchomienia ładunku. Luka w Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 i 4.7 umożliwia atakującemu wykonanie kodu za pośrednictwem złośliwego dokumentu lub aplikacji.
Jeden złośliwy dokument pobiera i otwiera drugi. Bardzo dobra sztuczka.
Exploit na lukę CVE-2017-8759 jest publicznie dostępny. Mało tego — dostępny jest generator złośliwego dokumentu, który umieszcza w kodzie odpowiednie złośliwe funkcje:Zaloguj lub Zarejestruj się aby zobaczyć!
W rzeczywistości drugi plik z rozszerzeniem .doc jest tak naprawdę plikiem RTF:
Podgląd w edytorze hexadecymalnym zdradza prawdziwy typ pliku.
Plik RTF zawiera drugi exploit CVE-2017-11882, który wykorzystuje lukę w pliku binarnym EQNEDT32.EXE edytora równań pakietu Office. Luka ta występuje od ponad dziesięciu lat — Microsoft zastąpił edytor równań jeszcze w 2007 roku, ale luka w zabezpieczeniach pozostała niezmieniona do końca 2017 roku. Plik EQNEDT32.EXE był nadal obecny we wszystkich wersjach pakietu Office do wersji Office 2016 ze względu na zgodność ze starszymi wersjami.
Obrazek przedstawia osadzony kod exploita w obiekcie OLE.
W tle widać, że plik RTF zawiera exploit. Po uruchomieniu złośliwego kodu tworzony jest proces EQNEDT32.EXE bez żadnej interakcji z użytkownikiem — poza otwarciem dokumentu Microsoft Office.
Do pokazania utworzonego procesu EQNEDT32.EXE wykorzystano narzędzie Process Hacker.
Znalezienie dwóch exploitów w jednym dokumencie nie zdarza się często w pracy analityka złośliwego oprogramowania. Niemal każdy system Windows może zawierać zainstalowany pakiet Office, dlatego w przyszłych kampaniach możemy mieć do czynienia z powtórzeniem sztuczek wykorzystanych w analizowanej kampanii phishingowej. Prawdopodobnie taka kombinacja exploitów wskazuje na to, że autorzy złośliwego kodu infekują jak najwięcej urządzeń i nie przeprowadzą ukierunkowanego ataku.
Jak się chronić?
Uruchamiać potencjalne złośliwe dokumenty z głową. W tym przypadku podstawiony początkowy złośliwy dokument nie zawierał poleceń makro, więc nie wymagał od użytkownika włączenia chronionej zawartości (co mogło uśpić czujność). Wystarczyło tylko otworzyć plik i bum — mamy dwuetapowe uruchomienie kodu i uzyskanie uprawnień dla wirusa takich samych jak uprawnienia użytkownika.
Zwykle doradzamy czytelnikom, aby zaktualizowali pakiet Office do najnowszej wersji lub wyłączyli marka. W tym przypadku to za mało. Oprócz wartych odnotowaniaZaloguj lub Zarejestruj się aby zobaczyć!należy dobrać odpowiedni pakiet bezpieczeństwa.Zaloguj lub Zarejestruj się aby zobaczyć!mogą być niewystarczające.
Analiza wykazała, że mamy do czynienia z dwoma złośliwymi znanymi exploitami. Zalecamy wypróbowanie kompleksowego pakietu bezpieczeństwa, który będzie posiadał modułu do skanowania pobieranych zasobów z Internetu, w tym ochronę przed złośliwymi dokumentami oraz zaporę sieciową.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
