ما به تازگی با استفاده از روش جدیدی که از پاورپوینت اسلاید استفاده می کند ، یک نوع جدید مالوایی را که از CVE-2017-0199 استفاده می کند ، مشاهده کردیم-اولین باری که این روش را در طبیعت استفاده کرده ایم.
توسط: Ronnie Giagone ، Rubio Wu 14 اوت 2017 زمان خواندن: (کلمات)
CVE-2017-0199 در ابتدا یک آسیب پذیری اجرای کد از راه دور صفر بود که به مهاجمان اجازه می داد از نقص موجود در اتصال و تعبیه ویندوز (OLE) رابط Microsoft Office برای ارائه بدافزار سوء استفاده کنند. معمولاً از طریق استفاده از اسناد متنی مخرب غنی (RTF) مورد سوء استفاده قرار می گیرد ، روشی که توسط تروجان بانکی Dridex که در اوایل سال جاری کشف شده است ، مورد استفاده قرار می گیرد.
ما به تازگی نمونه جدیدی را مشاهده کردیم (توسط Trend Micro به عنوان TROJ_CVE20170199. JVU) با استفاده از CVE-2017-0199 با استفاده از روشی جدید که از پاورپوینت اسلایدها سوء استفاده می کند ، استفاده می کنیم-اولین بار است که ما این رویکرد را قبلاً در وحشی استفاده کرده ایم. از آنجا که این اولین بار نیست که CVE-2017-0199 برای حمله مورد سوء استفاده قرار گرفت ، ما فکر کردیم که تجزیه و تحلیل این روش حمله جدید مناسب است تا بینشی در مورد چگونگی سوءاستفاده از این آسیب پذیری توسط سایر کمپین ها در آینده استفاده کند.
تجزیه و تحلیل فنی
شکل 1: جریان عفونت برای TROJ_CVE20170199. JVU
بهره برداری به عنوان یک ضمیمه ایمیل نیزه ، که گفته می شود از یک ارائه دهنده تولید کابل است ، وارد می شود و یک ابزار دسترسی از راه دور را به عنوان بار نهایی خود رها می کند. این امر معقول است زیرا ما این حملات را مشاهده کرده ایم که عمدتاً شرکت های درگیر در صنعت تولید الکترونیک را هدف قرار می دهد. ما معتقدیم که حمله هدفمند شامل استفاده از آدرس فرستنده مبدل به عنوان یک ایمیل قانونی است که توسط یک شریک تجاری ارسال شده است. محتوای نمونه ایمیل به این شکل است:
شکل 2: نمونه ایمیل نیزه-فیشینگ
در حالی که خود ایمیل به چیزی در مورد درخواست سفارش اشاره می کند ، کاربر که این ایمیل را دریافت می کند ، اسناد تجاری را ضمیمه نمی کند ، بلکه یک پرونده PPSX است که هنگام کلیک کردن موارد زیر را نشان می دهد:
شکل 3: تصویر پرونده PPSX که از CVE-2017-0199 سوء استفاده می کند
هنگامی که نمایشگاه مخرب پاورپوینت افتتاح شد ، متن CVE-2017-8570 را نشان می دهد که یک آسیب پذیری متفاوت مایکروسافت آفیس است. با این حال ، بر اساس تجزیه و تحلیل ما ، در واقع CVE-2017-0199 را سوءاستفاده می کند. این یک اشتباه باقیمانده از توسعه دهنده ابزار است ، که فرستنده تصمیم به تغییر نداد. پرونده باعث ایجاد یک اسکریپت در PPT/slides/_rels/slide1 [.] xml [.] می شود. بهره برداری کد از راه دور را در hxxp: // 192 [.] 166 [.] 218 [.] 230: 3550/logo [.] Doc ، که یک سرویس VPN یا میزبانی است که توسط مهاجم مورد سوء استفاده قرار می گیرد ، اجرا می کند.
شکل 4: پیوند بار به کد مخرب از راه دور تعبیه شده در PPT/Slides/_rels/slide1. xml. rels.
اگر نمونه را اجرا کنیم ، پاورپوینت اسکریپت Moniker را آغاز می کند و بار مخرب از راه دور را از طریق ویژگی انیمیشن های پاورپوینت نمایش اجرا می کند.
بر اساس تصویر زیر ، می بینیم که پس از بهره برداری از این نقص با موفقیت ، آرم فایل را بارگیری می کند. Doc (توسط Trend Micro به عنوان JS_DLOADER. AUSYVT) از اینترنت استفاده می شود.
شکل 5: بارگیری موفقیت آمیز پرونده Logo. doc
شکل 6: Logo. doc یک پرونده DOC نیست بلکه یک XML است که Ratman. exe را بارگیری می کند
پرونده logo. doc در واقع یک فایل XML با کد JavaScript است که یک دستور PowerShell را برای بارگیری و اجرای فایل شناخته شده به عنوان Ratman. exe اجرا می کند (توسط Trend Micro به عنوان BKDR_RESCOMS. CA شناسایی شده است). اجرایی در واقع یک نسخه تروژانیزه از ابزار دسترسی Remote Remote Remote (RAT) از سرور فرمان و کنترل (C& C) است: hxxp: // 192 [.] 166 [.] 218 [.] 230: 3550/Ratman [.]Exe ، که در لهستان واقع شده است. 192 [.] 166 [.] 218 [.] 230 آدرس همچنین به میزبانی انواع دیگر موش ها شناخته شده است. Ratman. exe سپس به سرور C& C در 5 [.] 134 [.] 116 [.] 146: 3550 برای اجرای.
بررسی Ratman. exe AKA REMCOS RAT
در ابتدا ، REMCOS RAT یک ابزار دسترسی از راه دور قانونی و قابل تنظیم است که به کاربر اجازه می دهد سیستم را از هر نقطه جهان کنترل کند. پس از اجرای REMCOS ، به مجرم این امکان را می دهد که دستورات از راه دور را روی سیستم کاربر اجرا کند. قابلیت های این ابزار را می توان در تصویر کنترل پنل زیر مشاهده کرد ، و به ما ایده ای می دهد که پس از ورود به سیستم کاربر ، چه کاری می تواند انجام دهد. قابلیت های این ابزار کاملاً جامع است و شامل یک دستور بارگیری و اجرای ، یک keylogger ، یک صفحه نمایش صفحه و ضبط کننده برای وب کم و میکروفون است.
شکل 7: تصویر صفحه کنترل موش REMCOS
در حالی که سازنده REMCOS به طور معمول فقط شامل فشرده سازی با استفاده از UPX و MPRIP است ، نمونه تروجانیزه ای که به دست آوردیم از یک محافظ ناشناخته . NET استفاده می کنیم ، که شامل چندین محافظت و مبهم است تا محققان را برای محققان دشوارتر کند.
شکل 8: کد انسداد نمونه
پس از باز کردن ، رشته های موجود از نمونه بدون بسته ، نسخه مشتری RemCOS را که از آن ساخته شده است نشان می دهد.
شکل 9: رشته های نمونه بسته بندی نشده
Remcos از ارتباطات رمزگذاری شده ، از جمله رمز عبور سخت برای تأیید اعتبار و رمزگذاری ترافیک شبکه استفاده می کند. بنابراین برای اینکه Ratman. exe با مشتری خود ارتباط برقرار کند ، باید درگاه ها و گذرواژهها بر این اساس تنظیم شود.
شکل 10: با استفاده از ابزار REMCOM RAT
در نهایت ، استفاده از روش جدید حمله یک مورد عملی است. از آنجا که بیشتر روشهای تشخیص برای CVE-2017-0199 بر روش RTF حمله متمرکز است ، استفاده از یک بردار جدید-PPSX-به مهاجمان کمک می کند تا از تشخیص آنتی ویروس جلوگیری کنند.
کاهش و روند میکرو راه حل
مواردی از این دست ، نیاز به کاربران را هنگام باز کردن پرونده ها یا کلیک روی پیوندها در ایمیل های خود ، محتاطانه نشان می دهد - حتی اگر از منابع به ظاهر قانونی ناشی شود. تلاش های فیشینگ نیزه می تواند بسیار پیچیده باشد و همانطور که با این مثال مشاهده می شود ، می تواند بیشتر کاربران را در بارگیری پرونده های مخرب فریب دهد. با اجرای تکنیک های کاهش مناسب در برابر حملات فیشینگ ، کاربران می توانند از بدافزارها که در وهله اول از ایمیل های آلوده به آنها استفاده می کنند ، جلوگیری کنند.
کاربران همچنین باید همیشه سیستم های خود را با آخرین به روزرسانی های امنیتی وصله کنند. با توجه به اینکه مایکروسافت قبلاً در ماه آوریل به این آسیب پذیری پرداخته بود ، کاربران دارای تکه های به روز شده از این حملات در امان هستند.
علاوه بر اجرای تکنیک های کاهش موثر ، استفاده از یک راه حل چند لایه مانند Trend Micro ™ Deep Discovery ™ به ارائه تشخیص ، تجزیه و تحلیل عمیق و پاسخ پیشگیرانه به بدافزارهای خفا امروز و حملات هدفمند در زمان واقعی کمک خواهد کرد. این یک دفاع جامع متناسب برای محافظت از سازمان ها در برابر حملات هدفمند و تهدیدهای پیشرفته از طریق موتورهای تخصصی ، ماسهبازی سفارشی و همبستگی یکپارچه در کل چرخه عمر حمله فراهم می کند.
Trend Micro ™ Deep Security ™ و محافظت از آسیب پذیری ، لکه های مجازی را فراهم می کند که از نقاط پایانی در برابر تهدیدهایی که از آسیب پذیری ها سوء استفاده می کند ، محافظت می کند. نقاط پایانی حفاظت از آسیب پذیری OfficeScan از سوء استفاده از آسیب پذیری شناسایی شده و ناشناخته حتی قبل از استقرار تکه ها استفاده می شود.
