Word漏洞CVE-2017-0199剖析,微软的补丁你装了吗?


Word漏洞CVE-2017-0199剖析,微软的补丁你装了吗? Word漏洞 CVE-2017-0199漏洞 微软补 ...

前言

近期,FireEye检测到了一种利用漏洞CVE-2017-0199的恶意OfficeRTF文档——本周早前CodeSec也报道了这一漏洞,在无需启用Word宏的情况下,打开恶意RFT文档就可感染恶意程序。当用户打开嵌入了漏洞利用代码的恶意文档之后,这个漏洞将允许攻击者在目标设备中下载并执行一个包含PowerShell命令的Visual Basic脚本,而FireEye所发现的这个恶意Office文档正是利用了漏洞CVE-2017-0199来在受感染设备上下载并执行恶意Payload。

目前,FireEye已经将漏洞详情上报给了微软公司,并且正在根据微软补丁的发布时间来协调漏洞披露的相关事宜。【漏洞公告】从近期一些安全机构的分析来看,该漏洞已经被攻击者应用到了攻击中,CodeSec的安全快讯就报道了该漏洞已经被应用到Dridex银行木马的部署;乌克兰冲突的网络间谍活动中该漏洞也被攻击者利用。

在漏洞补丁发布之前,这个漏洞可以绕过绝大多数的防护机制,但是FireEye的邮件和网络产品成功检测到了这种恶意文档。FireEye建议广大Office用户尽快安装微软公司提供的这份补丁【补丁公告】。

攻击场景

攻击的整个过程如下:

1. 攻击者向目标用户发送一个嵌入了OLE2文件(对象链接)的Word文档。

2. 当用户打开文档之后,winword.exe会向远程服务器发送一个HTTP请求,并获取一个恶意HTA文件。

3. 服务器返回的这个文件是一个伪造的RTF文件,其中嵌入了恶意脚本。

4. Winword.exe会通过一个COM对象来查询HTA文件处理器,而这一行为将会使微软HTA应用(mshta.exe)加载并执行恶意脚本。

在FireEye所发现的两个恶意文档中,嵌入在其中的恶意脚本首先会终止winword.exe进程,然后下载额外的Payload,最后加载恶意代码。原始的winword.exe进程将会被终止,恶意VB脚本将会隐藏如下图所示的用户弹窗:


Word漏洞CVE-2017-0199剖析,微软的补丁你装了吗? Word漏洞 CVE-2017-0199漏洞 微软补 ...

文件1-(MD5:5ebfd13250dd0408e3de594e419f9e01)

FireEye所识别出的第一个恶意文档主要有三个操作阶段。首先,一个嵌入在文档中的OLE2链接对象会让winword.exe访问下面这个URL地址,并下载第一阶段所需要的恶意HTA文件:

http[:]//46.102.152[.]129/template.doc

下载完成之后,“application/hta”处理器会对恶意HTA文件进行处理。下图中选中的那一行显示的是第一次恶意文件下载过程,随后还会下载额外的恶意Payload:


Word漏洞CVE-2017-0199剖析,微软的补丁你装了吗? Word漏洞 CVE-2017-0199漏洞 微软补 ...
下载完成之后,临时文件会被存储在用户的临时网络文件夹内,文件名为template[?].hta,其中的[?]为当前运行时间。

逻辑漏洞

Mshta.exe负责处理和解析Content-Type“application/hta”的内容,并执行脚本代码。下图显示的是winword.exe为“application/hta”处理器请求CLSID的注册表键值。


Word漏洞CVE-2017-0199剖析,微软的补丁你装了吗? Word漏洞 CVE-2017-0199漏洞 微软补 ...

Winword.exe会向DCOMLaunch服务发送一次请求,并通过svchost.exe进程来让DCOMLaunch执行mshta.exe。接下来,Mshta.exe将会负责执行嵌入在恶意HTA文档中的脚本代码。下图显示的是第一阶段所下载的VB脚本代码(已经过凡混淆处理):


Word漏洞CVE-2017-0199剖析,微软的补丁你装了吗? Word漏洞 CVE-2017-0199漏洞 微软补 ...

上图所示的脚本代码会执行下列恶意行为:

1. 通过taskkill.exe终止winword.exe进程,并隐藏之前图片所显示的用户弹窗。

2. 从地址http[:]//www.modani[.]com/media/wysiwyg/ww.vbs下载一个VBScript文件,保存路径为%appdata%\Microsoft\windows\maintenance.vbs。
3. 从地址http[:]//www.modani[.]com/media/wysiwyg/questions.doc下载一个钓鱼文件,保存路径为%temp%\document.doc。

4. 让Microsoft Word重启。

5. 执行VBScript文件:%appdata%\Microsoft\Windows\maintenance.vbs

6. 打开钓鱼文件%temp%\document.doc,隐藏恶意活动。

其中,恶意VBScript文件将负责执行下面这两个任务:

1. 向%TMP%/eoobvfwiglhiliqougukgm.js写入一个嵌入式脚本(经过混淆处理)。

2. 执行脚本代码。

经过混淆的eoobvfwiglhiliqougukgm.js脚本负责执行以下三个任务:

1. 尝试将自己从系统中删除。

2. 尝试下载http[:]//www.modani[.]com/media/wysiwyg/wood.exe,并将文件保存在%TMP%\dcihprianeeyirdeuceulx.exe。

3. 运行%TMP%\dcihprianeeyirdeuceulx.exe

下图显示的是进程的执行链:


Word漏洞CVE-2017-0199剖析,微软的补丁你装了吗? Word漏洞 CVE-2017-0199漏洞 微软补 ...

这一恶意软件最终所使用的payload为LATENTBOT恶意软件家族的一个新型变种。下图显示的是第一个文档文件的元数据:


Word漏洞CVE-2017-0199剖析,微软的补丁你装了吗? Word漏洞 CVE-2017-0199漏洞 微软补 ...

LATENTBOT Payload

LATENTBOT是一款高度混淆化的BOT,从2013年起就已经得到了网络犯罪分子的青睐,而且与第一个文档有关的Payload是LATENTBOT恶意软件家族的一个新型变种。这种新版本的LATENTBOT在攻击WindowsXP(x86)和Windows7系统时采用的是与之前版本不同的注入机制:

1. Attrib.exe-这个恶意bot会调用Attrib.exe,在映射attrib.exe的地址空间时使用的是ZwMapViewOfSection()。

本文网络安全相关术语:网络安全工程师 网络信息安全 网络安全技术 网络安全知识

tags: exe,恶意,漏洞,文档,文件,FireEye,下载,脚本,HTA,Word,winword,CVE,执行
分页:12
转载请注明
本文标题:Word漏洞CVE-2017-0199剖析,微软的补丁你装了吗? Word漏洞 CVE-2017-0199漏洞 微软补 ...
本站链接:https://www.codesec.net/view/558596.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 网络安全 | 评论(0) | 阅读(157)