在10月下旬,Cymulate的安全研究人員展示了一個攻擊邏輯漏洞的概念證明樣本(PoC),讓駭客可以利用 Microsoft Office 的線上影片功能散播惡意軟體。我們在 VirusTotal 上找到一個真實病毒(趨勢科技偵測為TROJ_EXPLOIT.AOOCAI),會利用此手法來散播URSNIF資料竊取病毒(TSPY_URSNIF.OIBEAO)。
惡意軟體的感染媒介為何?
因為此種攻擊使用特製的Word文件,所以它可能會透過其他惡意軟體或作為垃圾郵件附件檔或連結/網址來進入使用者系統。
此漏洞會影響Microsoft Word 2013及後來的版本。概念證明樣本和真實病毒都是用Microsoft Word 的 DOCX 檔案類型,這是種能夠包含文字、物件、樣式、格式和圖片的XML檔案。它們儲存成分別的檔案並封裝成ZIP壓縮的DOCX檔案。
圖1:概念證明樣本(左)和真實病毒(右)感染鏈的比較
概念證明樣本和真實病毒的運作模式?
概念證明樣本和真實病毒利用了Microsoft Office內嵌線上影片功能的邏輯錯誤,這功能可以讓使用者嵌入外部來源(如YouTube或其他類似媒體平台)的線上影片。
概念證明樣本是將線上影片嵌入文件後再修改檔案內的XML完成。如Cymulate所示,它的作法包括:
- 修改文件副檔名(從DOCX改成ZIP)。
- 取出壓縮檔內的檔案。
- 找出XML檔案內的可用來加入惡意腳本或網址的標籤(embeddedHtml)。請注意,修改embeddedHtml參數內的網址後,點擊文件內影片的任何位置都會自動將使用者導到指定的網址。
- 修改embeddedHtml內的腳本來初始化和部署後續病毒。
仔細研究真實病毒後可以看出它只有修改src參數下的網址,將其更換成包含一個腳本的Pastebin網址,會在成功重新導向後載入和執行。接著該腳本會連到另一個惡意網址來下載並執行URSNIF惡意軟體。
圖2:顯示embeddedHtml參數內修改過網址的程式碼截圖(紅色框框)
概念證明樣本與真實病毒有何不同?
概念證明樣本使用msSaveorOpenBlob method(為檔案或blob物件啟動應用程式)來解碼內嵌在影片標籤內經過base64編碼的二進位檔案。點擊影片也會觸發。解碼後,它會透過IE瀏覽器下載管理員來提示使用者(顯示內嵌的二進位檔案名稱),詢問要執行或儲存執行檔(如圖3所示)。
跟概念證明樣本不同,真實病毒更加簡單,可能也更有效。它會在點擊影片時直接連到惡意網址。接著載入會自動下載最終惡意檔案的惡意腳本。如圖4所示,它會用下載管理員提示使用者儲存或執行偽裝成Flash Player更新的惡意檔案。
圖3:IE 下載管理員詢問使用者要執行或儲存可執行檔案
圖4:真實病毒運作模式
使用者如何抵禦這種威脅?
微軟據報並沒有為此分配CVE編號,因為這影片內嵌功能是照預期/設計的方式運作。使用者可以封鎖在XML內具有embeddedHtml標籤的Word文件或停用內嵌影片的文件來防止被惡意濫用。因為這種做法只需要修改網址,可能會被用來將各種惡意軟體或其他威脅帶給使用戶和企業。要採用最佳實作:小心非預期的電子郵件以及更新系統、應用程式和網路來修補可被利用的漏洞。使用能為端點加上多一層防護的安全機制(如網址過濾/分類)也有助於封鎖惡意網址和惡意軟體代管網站。
《延伸閱讀 》這些員工沒看穿的騙局,造成的損失可能比病毒還大- 企業常見四種電子郵件威脅
使用者跟企業還可以考慮採用安全解決方案,透過跨世代混合的威脅防禦技術來保護系統抵禦各種威脅。趨勢科技的端點解決方案(如趨勢科技 Smart Protection Suites和 Worry-Free Business Security )可以偵測惡意檔案和郵件以及封鎖所有相關惡意網址來保護用戶和企業免於此威脅。趨勢科技Deep Discovery進階網路安全防護 具備電子郵件檢查功能,可以偵測惡意附件檔和網址來保護企業。
這些解決方案由趨勢科技XGen™ 防護技術所驅動,提供高保真機器學習技術來保護閘道 和端點,並且保護實體、虛擬和雲端環境。藉由網站/網址過濾、行為分析和客製化沙箱等技術,XGen安全防護可以抵禦不斷進化來繞過傳統控制及攻擊已知/未知漏洞的各種威脅。
入侵指標(IoC):
相關雜湊值(SHA-256):
- 03634e2eab2f61ab1d7359c4038c7042f7eb294d9d5c855560468b8824702c47 – TROJ_EXPLOIT.AOOCAI
- d01b6f839b233ce9d6834a58d9d832ad824b73dd3dd1f399639fe5326faf783b – TSPY_URSNIF.OIBEAO
相關惡意網址:
- hxxp://wetnosesandwhiskers[.]com/driverfix30e45vers[.]exe
用來偵測TROJ_EXPLOIT.AOOCAI的YARA規則:
rule EMBEDDEDHTML_WITH_SCRIPT {
meta:
description = “possible abuse of Office video embededHtml”
reference = “https://blog.cymulate.com/abusing-microsoft-office-online-video”
strings:
$embeddedHtmlre1 = /\sembeddedHtml=”[^”]+/
$embeddedHtmlre2 = /\sembeddedHtml='[^’]+/
$script = “<script” nocase
condition:
(
for any i in (1..#embeddedHtmlre1): (
for any j in (1..#script): (
@embeddedHtmlre1[i] < @script[j] and
@script[j] < @embeddedHtmlre1[i] + !embeddedHtmlre1[i]
)
)
)
or
(
for any i in (1..#embeddedHtmlre2): (
for any j in (1..#script): (
@embeddedHtmlre2[i] < @script[j] and
@script[j] < @embeddedHtmlre2[i] + !embeddedHtmlre2[i]
)
)
)
}
@原文出處:Hide and Script: Inserted Malicious URLs within Office Documents’ Embedded Videos 作者:Michael Villanueva和Toshiyuki Iwata(威脅分析師)