Office漏洞在野利用后門遠控分析報告

2019-01-16?來源：安全資訊

樣本信息樣本名稱： CVE-2017-0199.Exploit。 CVE-2017-11882.exploit。 Trojan.Backdoor 樣本家族： Backdoor 樣本類型：漏洞利用、后門。 MD 5 ： 1a3ff39c7abf2477c08e62a408b764c2。 2172ef749af3afe263cf17395913175b。

樣本信息

樣本名稱：CVE-2017-0199.Exploit。
CVE-2017-11882.exploit。
Trojan.Backdoor
樣本家族：Backdoor
樣本類型：漏洞利用、后門。
MD5： 1a3ff39c7abf2477c08e62a408b764c2。
2172ef749af3afe263cf17395913175b。
99226105ebf33383401bf0fedc3cd117。
b9a4b376b91c22ac3a64a3e6be4d2aec。
SHA1： f91ca114792b05ecc1fb10f260d2fa8ba857a555。
0b34a3b882638b4497eba6a5a28c67aa7096cfe5。
bb8c0297ccbb3d5185f8d7ff7ab3ddb43452ed7d。
d8432923d549c755e4901aea38951c8f8b1264da。
文件類型：doc，doc，msi，exe
文件大?。?/strong>172.32 KB，261.13 KB，704 KB，680 KB。
傳播途徑：釣魚郵件。
專殺信息：暫無
影響系統(tǒng)：影響office 2007 – 2016所有版本。
樣本來源：互聯(lián)網(wǎng)
發(fā)現(xiàn)時間：2019.1
入庫時間：
C2服務(wù)器： 76.72.173.69。
Stomnsco.com。

樣本概況
該word樣本（cve-2017-0199.exploit）利用cve-2017-0199漏洞，企圖在word文檔打開時就從遠程服務(wù)器下載surb.doc（cve-2017-11882.exploit），surb.doc利用office中的公式編輯器漏洞去遠程下載并運行surb.msi。
在msiexec運行surb.msi時，又會釋放最后一個內(nèi)嵌的惡意文件，正是這個最后釋放的惡意文件（trojan.backdoor）執(zhí)行進程注入、hook函數(shù)、收集信息、遠程控制等核心功能。

樣本危害
該木馬可以根據(jù)從服務(wù)端接收的命令可以隨時選擇執(zhí)行獲取上傳用戶電腦的瀏覽器上網(wǎng)代理設(shè)置和安裝軟件列表信息、本地磁盤列表及類型等信息，并且可以下載，執(zhí)行一條命令，做到完全控制用戶電腦。能夠竊取用戶電腦上的信息，更新木馬文件，下載執(zhí)行更多的惡意文件，極大的危害用戶的系統(tǒng)安全和信息安全。
漏洞補丁信息
Office 2007
kb2526086
kb2526086
kb3141529

Office 2010
kb2687455
kb3141529

Office 2016
kb3178703

Cve-2017-11882
Office 2007 (KB4011604)
Office 2010 (KB4011618)
Office 2013 (KB3162047)
Office 2016 (KB4011262)

應(yīng)對措施及建議
該樣本以及所依賴的其他惡意組件都利用了往年比較熱門的office漏洞，所以建議用戶及時更新操作系統(tǒng)以及office補丁。
該樣本最終釋放的是個后門病毒，有較強的隱蔽性。建議用戶開啟殺毒軟件的主動防御和文件監(jiān)控功能，并且開啟防火墻。
不要隨意打開陌生人發(fā)送過來的郵件，及時掃描郵件中的附件。

行為概述

文件行為
C:\Users\vbccsb\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRD0000.doc。。
C:\Users\vbccsb\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRD0001.doc。

進程行為
啟動cmd和msiexec
創(chuàng)建并執(zhí)行MSIDE71.tmp

注冊表行為
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

網(wǎng)絡(luò)行為
1). 嘗試下載http://stomnsco.com/cgi/surb.doc。
2). 嘗試下載http://stomnsco.com/cgi/surb.msi。
3). 嘗試與104.27.190.196通信。

詳細(xì)分析報告
利用該漏洞的一種典型的攻擊場景為：攻擊者將CVE-2017-0199漏洞的RTF文件作為一個源嵌入到了Docx格式的文檔中，docx文件在打開時是自動去遠程獲取包含0199漏洞的rtf文件，再觸發(fā)后面的漏洞利用代碼，這樣的攻擊增加了安全軟件的查殺難度。
原始文件為一個docx格式的文檔，在該文檔中嵌入了黑客遠程服務(wù)器上的一個文檔，從下圖可以看到鏈接到MsOffice.doc地址。

惡意文件包含著一個vbscript腳本，腳本內(nèi)容如下：
主要意圖仍然是從遠程服務(wù)器上繼續(xù)下載其他的惡意組件。

此漏洞的成因主要是word在處理內(nèi)嵌OLE2LINK對象時，通過網(wǎng)絡(luò)更新對象時沒有正確處理的Content-Type所導(dǎo)致的一個邏輯漏洞。由于邏輯漏洞的成因，就導(dǎo)致利用該漏洞時不需要繞過微軟采用的一系列諸如ASLR、DEP之類的漏洞緩解措施，因此成功率非常高。

1). office中的某組件從遠程上下載其他惡意文件。

從抓包分析來看，該樣本所連接的服務(wù)器已無法正常訪問。

從抓到的包數(shù)據(jù)中看出，該word樣本的意圖的確是想從遠程服務(wù)器上下載另外的惡意文檔surb.doc。
Surb.doc是利用cve-2017-11882的文件

由于默認(rèn)狀態(tài)下Office文檔中的OLE Object需要用戶雙擊才能生效。與CVE-2017-0199一樣，需要設(shè)置OLE Object的屬性為自動更新，這樣無需交互，點擊打開文檔后惡意代碼就可以執(zhí)行。

在Office文檔中插入或編輯公式時，Office進程（如winword.exe，excel.exe）會通過RPC啟動一個獨立的eqnedt32.exe進程來完成公式的解析和編輯等需求。Microsoft Office 2007及之后的版本已經(jīng)用內(nèi)置的公式編輯工具替代了EQNEDT32.exe，但為了保證對老版本的兼容，所有MicrosoftOffice和Office365仍支持EQNEDT32.exe編輯的公式。
通過IDA看到漏洞發(fā)生的位置如下圖，其中參數(shù)a1的內(nèi)容來自于“Equation Native”流，該流的數(shù)據(jù)由文檔提供，正常情況下，流里面的數(shù)據(jù)代表一個MathType的公式。

溢出時，將返回地址覆蓋成了0x00630C12，對應(yīng)著ole對象中的數(shù)據(jù)如下：

隨后在_strupr函數(shù)中，字符串內(nèi)容被轉(zhuǎn)換，返回地址被修改為：0x00430C12。

Eqnedt32模塊中大量使用了strcpy，沒有對長度進行校驗：

而在解析“Equation Native”流的Font Name數(shù)據(jù)時，在上面的拷貝過程中沒有對FontName的長度做校驗，導(dǎo)致了棧溢出，最終使用精心構(gòu)造的數(shù)據(jù)覆蓋函數(shù)的返回地址，達到劫持程序執(zhí)行流程的目的。

文件被打開時，又會從遠程服務(wù)器上下載surb.msi并靜默執(zhí)行。

Msi文件會釋放出formbook類型的惡意軟件。

樣本運行后首先以掛起狀態(tài)創(chuàng)建一個新的自身進程，之后解密出真正的惡意代碼，再使用ZwWriteVirtualMemory將惡意代碼寫入到剛創(chuàng)建的傀儡進程中，最后啟動傀儡進程執(zhí)行惡意代碼?？苓M程首先遍歷進程列表查找Explorer.exe，并使用NtMapViewOfSection向Explorer.exe注入ShellCode。

Explorer中注入的ShellCode會在%systemroot%\system32下隨機選取一個exe文件再次以傀儡進程的方式注入ShellCode，新的傀儡進程會刪除原始病毒樣本，并重新向Explorer.exe注入ShellCode，該ShellCode 為最終的執(zhí)行的惡意代碼。之后惡意代碼會連接C&C服務(wù)器，以Get方式發(fā)送連接請求：

hook函數(shù)鍵盤記錄或文本監(jiān)控：GetMessageA、GetMessageW、PeekMessageA、PeekMessageW、SendMessageA、SendMessageW。
瀏覽器函數(shù)：HttpSendRequestA、HttpSendRequestW、InternetQueryOptionW、EncryptMessage、WSASend。
瀏覽器的hook函數(shù)會在HTTP請求的內(nèi)容中查找某些字符串，如果找到匹配字符串，則提取有關(guān)請求的信息，目標(biāo)字符串如下:pass、token、email、login、signin、account、persistent。
通過判斷C&C指令以及特殊的“FBNG”字符串標(biāo)志來執(zhí)行對應(yīng)的木馬功能。
由于遠程服務(wù)器截止目前無法正常訪問，所以不能動態(tài)地截取發(fā)包和收包過程。

樣本溯源分析

總結(jié)
Office軟件屬于最常見的軟件了，幾乎所有的企業(yè)內(nèi)部的計算機都會有office套裝。該樣本也正是利用了2017年office漏洞中影響較廣、漏洞利用手段和技巧也非常成熟的cve-2017-0199和cve-2017-11882 兩個漏洞連續(xù)地從黑客遠程服務(wù)器上下載并運行其他的惡意軟件，最終在計算機上留下后門，對數(shù)據(jù)安全造成極大的威脅。

附錄

Hash

C&C
76.72.173.69
stomnsco.com