CVE-2017-0199:新的惡意軟體攻擊PowerPoint漏洞

CVE-2017-0199 原本是個遠端執行程式碼的零時差漏洞,讓攻擊者可以用來攻擊微軟Office的Windows物件連結與嵌入(OLE)介面以散播惡意軟體。它通常利用的是惡意RTF文件,也就是今年初被DRIDEX銀行木馬所利用的方式。

趨勢科技最近看到了新樣本(趨勢科技偵測為TROJ_CVE20170199.JVU)會用新的方法(利用PowerPoint播放模式)來利用CVE-2017-0199漏洞,這是我們第一次看到有實際的病毒利用這方法。這並非CVE-2017-0199第一次被利用,本文將分析這個新攻擊手法,提供對此漏洞更加深入的見解,藉此了解此漏洞在未來可能如何被其他攻擊活動被利用。

 

技術分析

Figure 1 CVE-2017-0199 diagram

圖1:TROJ_CVE20170199.JVU感染流程

偽裝生意夥伴的發送網路釣魚電子郵件

漏洞攻擊碼是以魚叉式釣魚攻擊(SPEAR PHISHING)附件的方式抵達,偽稱來自電線廠商,實際上則是會植入一個遠端存取工具。這個偽裝是有原因的,因為這些攻擊主要是針對電子製造相關的公司。我們相信針對性攻擊/鎖定目標攻擊(Targeted attack )會偽裝生意夥伴的電子郵件地址來寄送郵件。

 

郵件樣本內容如下:

Figure 2 spear-phishing email CVE-2017-0199

圖2:魚叉式釣魚郵件樣本

 

雖然電子郵件本身有提到訂單請求,但收到郵件的使用者看不到商業文件,而是會看到一個PPSX檔案,點擊後會顯示如下:

Figure 3 Screenshot of the PPSX file that abuses CVE-2017-0199

圖3:利用CVE-2017-0199漏洞的PPSX檔案截圖

 

一旦開啟惡意PowerPoint檔案,它會顯示文字“CVE-2017-8570”,這是另一個不同的微軟Office漏洞。不過根據我們的分析,它實際上攻擊的是CVE-2017-0199。這是攻擊套件開發者所留下來的錯誤,而郵件寄送者並沒有去更正它。

這檔案會觸發 ppt/slides/_rels/slide1[.]xml[.]rels內的腳本。漏洞攻擊碼會執行在hxxp://192[.]166[.]218[.]230:3550/logo[.]doc的遠端程式碼,這是攻擊者所利用的VPN或代管服務。

Figure 4 The payload link to remote malicious code

圖4:內嵌在PPT/slides/_rels/slide1.xml.rels會連結遠端惡意程式碼的惡意腳本。

 

一旦執行這樣本,PowerPoint將初始化腳本並透過PowerPoint播放模式的動畫功能來執行遠端惡意程式碼。

根據下面的截圖,我們可以看到在該漏洞被攻擊成功後,它會從網路下載檔案logo.doc(趨勢科技偵測為JS_DLOADER.AUSYVT)。

Figure 5 downloading the logo.doc file

圖5:成功下載logo.doc檔案

Figure 6 ratman exe

圖6:logo.doc並不是doc文件,而是會下載RATMAN.EXE的XML

 

這個logo.doc檔案其實是帶有JavaScript程式碼的XML檔案,會執行PowerShell命令去下載並執行檔案 – RATMAN.EXE(趨勢科技檢測為BKDR_RESCOMS.CA)。這可執行檔實際上是來自命令與控制(C&C)伺服器的木馬化REMCOS遠端存取工具(RAT)hxxp://192[.]166[.]218[.]230:3550/ratman[.]exe,這IP位在波蘭。192[.]166[.]218[.]230也代管了其他的遠端存取工具。RATMAN.EXE接著會連到位在5[.]134[.]116[.]146:3550的C&C伺服器來繼續執行。

 

檢視Ratman.EXE(又稱REMCOS RAT

REMCOS RAT原本是合法且可客製化的遠端存取工具,可以讓使用者從世界上的任何地方來控制系統。一旦執行了REMCOS,就可以讓使用者在系統上執行遠端命令。該工具的功能可以從下面的主控台截圖看出,讓我們可以想像得出這東西一旦進入使用者系統能夠做什麼。這工具具備相當全面的功能,包括下載和執行命令、鍵盤側錄、螢幕側錄以及使用網路攝影機和麥克風來錄音錄影。

Figure 7 the REMCOS RAT Control Panel

圖7:REMCOS RAT主控台截圖

 

雖然REMCOS通常只用UPX和MPRESS壓縮,我們所收集到的木馬樣本使用了未知的.NET保護,它提供數種保護和混淆能力,讓研究人員更難去進行逆向工程。

Figure 8 The sample’s obfuscation code

圖8:樣本內混淆過的程式碼

 

解開樣本後,裡面出現的字串顯示其原本基於的REMCOS客戶端版本。

Figure 9 Unpacked sample strings

圖9:解開後的樣本字串

 

REMCOS使用加密通訊,包括用來認證的內建密碼和網路流量加密。因此,為了讓RATMAN.EXE與其客戶端進行通訊,就必須設定對應的端口和密碼。

Figure 10 Using the REMCOM RAT tool

圖10:使用REMCOM RAT工具

 

最後,使用這新的手法是基於實用考慮;因為大多數針對CVE-2017-0199的偵測方式著重在RTF攻擊模式,利用新載體(PPSX檔案)可以讓攻擊者躲避防毒軟體偵測。

 

建議作法和趨勢科技的解決方案

這類的案例強調了使用者在開啟郵件內的檔案或連結時要特別小心謹慎,即使看似來自正常的來源。魚叉式網路釣魚的手法可能相當複雜,而且就如此例中所看到,可以誘騙大多數的使用者下載惡意檔案。部署對抗釣魚式攻擊的合適解決技術可以讓使用者做一開始就封鎖住惡意軟體所利用的電子郵件。

使用者也應該要持續修補系統與安裝安全更新。因為微軟已經於四月修補了這個漏洞,所以已經更新修補程式的使用者在面對此攻擊時是安全的。

除了部署有效的緩解技術,使用多層次防護技術(如Deep Discovery)可以即時偵測、深入分析並主動回應現今的隱蔽式惡意軟體和針對性攻擊。它提供企業量身打造的防禦能力,透過特製引擎、客製化沙箱和無縫關聯技術來跨越整個攻擊生命週期對抗針對性攻擊和進階威脅。

趨勢科技Deep Security趨勢科技 Vulnerability Protection 漏洞防護提供虛擬修補技術,可以保護端點對抗漏洞攻擊威脅。趨勢科技 OfficeScan™的Vulnerability Protection保護端點對抗已知和未知的漏洞攻擊,甚至在修補程式部署之前。

 

@原文出處:CVE-2017-0199: New Malware Abuses PowerPoint Slide Show 作者: 趨勢科技(Ronnie Giagone和Rubio Wu)