Office高階威脅漏洞在野利用分析

2021-09-08 13:23:16 字數 3236 閱讀 5131

在高階威脅攻擊中,黑客遠端投遞入侵客戶端最喜歡的漏洞是office文件漏洞,就在剛剛結束不久的黑帽子大會上,最佳客戶端安全漏洞獎頒給了cve-2017-0199漏洞,這個漏洞是時下office漏洞領域最熱門的安全漏洞,最佳客戶端安全漏洞這個榮譽歸於ryan hanson、haifei li、bing sun以及未知的黑客。

圖1cve-2017-0199是office系列辦公軟體中的乙個邏輯漏洞,和常規的記憶體破壞型漏洞不同,這類漏洞無需複雜的利用手法,直接就可以在office文件中執行任意的惡意指令碼,使用起來穩定可靠。微軟在今年4月安全更新中對cve-2017-0199漏洞進行了修復,但安全補丁的修復及防禦仍然可以繞過,在7月微軟的安全更新中又修復了同樣型別的新漏洞cve-2017-8570。在syscan360 2017西雅圖安全會議上,haifei li和bing sun的議題《moniker魔法:直接在microsoft office中執行指令碼》詳細解析了這類漏洞的原理,本文就不再贅述,下面開始著重分析這些漏洞的在野利用情況。

圖2由於rtf版本的漏洞利用大量使用,各家安全軟體檢出率也都比較高,攻擊者開始轉向另外一種office文件格式進行攻擊,攻擊者發現ppsx格式的幻燈片文件也可以無互動觸發漏洞,該利用方式的原理是利用幻燈片的動畫事件,當幻燈片的一些預定義事件觸發時可以自動觸發導致漏洞利用。

如下圖,乙個流行的攻擊樣本中嵌入的惡意動畫事件:

圖3事件會關聯乙個olelink物件,原理類似rtf版本,如下xml中的字段。

圖4但物件會嵌入的是乙個帶有script協議頭的遠端位址,而url位址中的xml檔案是乙個惡意sct指令碼。

圖5近期我們發現有部分真實檔案格式是docx格式的文件加入了cve-2017-0199的漏洞利用,攻擊者非常巧妙的將cve-2017-0199漏洞的rtf檔案作為乙個源嵌入到了docx格式的文件中,這樣導致docx檔案在開啟時是自動去遠端獲取包含0199漏洞的rtf檔案,再觸發後面的一連串攻擊行為,這樣的攻擊增加了安全軟體的查殺難度,一些防毒軟體毫無察覺!

如下圖,我們會發現docx格式的文件嵌入了乙個遠端的文件物件:

圖6開啟文件後會自動開啟遠端的惡意rtf檔案!

圖7我們可以看到在野利用的rtf樣本在vt上的檢出率為31/59。

圖8而最新流行的docx版本的檢出率僅為5/59。

圖9上週我們在外界發現了多例標註為cve-2017-8570的office幻燈片文件惡意樣本,同時有安全廠商宣稱第一時間捕獲了最新的office漏洞,但經過分析我們發現該樣本仍然是cve-2017-0199漏洞野外利用的第二個ppsx版本,通過對一例典型樣本進行分析,我們發現樣本使用的payload是loki bot竊密型別的木馬病毒,是一起有針對性的竊密攻擊。

圖10shell.exe 是乙個混淆的.net程式

圖11shell.exe會記憶體解密執行loki bot功能,這時loki bot木馬會竊取各種軟體的資訊。

圖12圖13

如,竊取firefox資訊

圖14竊取chrome 360browser等瀏覽器資訊

圖 15

竊取各類ftp軟體的資訊

圖16最後提交竊取的相關資料到遠端伺服器

hxxp:

圖17

url

目前流行的office高階威脅漏洞趨向於穩定的邏輯漏洞,cve-2017-0199仍然是主流利用漏洞型別,該漏洞會針對不同文件格式利用有不同變種,同時新的cve-2017-8570漏洞也在蠢蠢欲動。面對惡意文件攻擊,廣大使用者需要提高安全意識,不要輕易開啟不明來路的office文件,同時針對如下流行的office辦公軟體,使用360安全衛士安裝最新的安全補丁,修復cve-2017-0199和cve-2017-8570漏洞。

| microsoft office 2007 service pack 3 |

| --- |

| microsoft office 2010 service pack 2 (32-bit editions) |

| microsoft office 2010 service pack 2 (64-bit editions) |

| microsoft office 2013 rt service pack 1 |

| microsoft office 2013 service pack 1 (32-bit editions) |

| microsoft office 2013 service pack 1 (64-bit editions) |

| microsoft office 2016 (32-bit edition) |

| microsoft office 2016 (64-bit edition) |

chrome在野利用0day漏洞預警

0x00 漏洞背景 北京時間3月6日,360cert監控到chrome瀏覽器發布版本更新 72.0.3626.119 72.0.3626.121 修復了在野利用的cve 2019 5786。該漏洞危害較為嚴重,影響較大。0x01 漏洞詳情 cve 2019 5786是位於filereader中的ua...

FireEye 2023年下半年高階威脅分析報告

最近,fireeye發布了2012年的高階威脅分析報告。根據對超過8900萬獲取的惡意 事件進行分析,fireeye認為 2 在所有遭受 的企業和組織中,擁有核心關鍵技術的技術類企業佔比最高 3 有的企業反覆遭受 有的則飄忽不定 4 在定向釣魚郵件 spear phishing email 中經常使...

FireEye 2023年下半年高階威脅分析報告

最近,fireeye發布了2012年的高階威脅分析報告。根據對超過8900萬獲取的惡意 事件進行分析,fireeye認為 2 在所有遭受 的企業和組織中,擁有核心關鍵技術的技術類企業佔比最高 3 有的企業反覆遭受 有的則飄忽不定 4 在定向釣魚郵件 spear phishing email 中經常使...