Windows任意代码执行0day(CVE-2014-4114)分析报告

明天发布补丁的windows 所有平台都可以触发的 OLE包管理INF 任意代码执行漏洞,CVE-2014-4114。该漏洞影响win vista,win7等以上操作系统,利用微软文档就可以触发该漏洞,而且该漏洞为逻辑漏洞,很容易利用成功。当前样本已经扩散且容易改造被黑客二次利用。预计微软补丁今晚凌晨才能出来,翰海源提醒用户在此期间注意不要打开陌生人发送的office文档。

漏洞最先是从iSIGHT Partners厂商发布的公告上宣称发现了新的0day用于俄罗斯用在搞北约的APT攻击中,并命名SandWorm。
iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign

样本为PPS 类型,打开之后自动播放直接触发利用成功。

22121221101

从virustotal的链接来看,样本第一次的提交时间是在8月13号,已经在外面漂泊起码2个月以上,

22121221103

Virustotal

样本一开始在virustotal上面所有的杀毒软件都检测不到,

22121221104

该漏洞本身的载体文件无需任何shellcode、内嵌木马,若只基于检测这些点的扫描引擎、安全设备则无能为力。从这里也可以看出单纯的杀毒软件防护无法阻止高级威胁的0day样本攻击,必须从整个攻击的生命周期进行检测。世界上只有10种人,一种是知道自己被黑了,一种是不知道自己被黑了。

当然了,加特征还是可以的,比如2个小时左右,这不国内的2家死对头公司纷纷更新了规则,成了榜上的一对好基友,不过这个Generic总觉得哪里不对啊。

22121221105

攻击样本解压之后可以看到embeddings\oleObject2.bin只包含一串webdav的路径
该路径为触发的核心

22121221106

embeddings\oleObject1.bin 包含了具体马的路径

22121221107

当前这个地址还是活的,不过只能通过vpn去连接,可以下载到里面的一些其他攻击文件

22121221108

经过初步分析,该漏洞在加载OLE PACKAGE时,当遇到inf时,去调用
C:\Windows\System32\InfDefaultInstall.exe 去执行下载下来的inf文件。构造一个特定的inf,让其加载同目录文件,从而造成了远程任意代码执行。

22121221109

该漏洞的利用可以结合7月28号 麦咖啡发的一篇blog
Dropping Files Into Temp Folder Raises Security Concerns
一起看。上面介绍到了一个rtf样本利用package activex control,在打开这个rtf文件时,会在当前用户的临时目录下创建任意名称指定内容的文件。麦咖啡也提到了这可能是一个潜在的风险,特定情况下会造成恶意代码的加载执行。
如果能随机化这个路径名,那么此次0day攻击中的样本通过inf的方式也比较难利用。

翰海源星云V2多维度威胁检测系统靠多个维度来检测高级威胁,此次攻击中虽然攻击样本本身很难检测到,但是其一系列的后续执行星云都可以检测到。如此次攻击中的slide1.gif 木马,星云系统的沙箱无需任何更新及可以检测到。

221212211010

各位小伙伴可以查看文件B超上面的检测结果
https://www.b-chao.com/index.php/Index/show_detail/Sha1/61A6D618BB311395D0DB3A5699A1AB416A39D85B

221212211011

服务器上面其他的木马文件的检测结果 如 default.txt
https://www.b-chao.com/index.php/Index/show_detail/Sha1/4D4334FF0545717B3ADC165AB6748DCE82098D97
view.ph
https://www.b-chao.com/index.php/Index/show_detail/Sha1/118206D910F0036357B04C154DA8966BCCCD31B4

同时该样本的攻击方式中也会命中星云系统的另一个检测算法(高级攻击中常用的,暂不透露啦)

同时翰海源安全团队也及时响应,发布了星云对该CVE的NDAY检测规则,该漏的的利用方式的样本通过该升级包升级之后也可以直接检测到。

221212211012

原创文章转载请注明:转载自 七行者博客

本文固定链接: http://www.qxzxp.com/5480.html