據亞信安全病毒監(jiān)測中心監(jiān)控數數據,8月份以來CVE-2012-0158漏洞利用有抬頭之勢,漏洞利用攜帶的攻擊載荷主要為監(jiān)控類或賬號竊取類木馬,攻擊目標針對企業(yè),以制造業(yè)、金融業(yè)和醫(yī)療行業(yè)居多。
Sophos曾經報道過Rotten Tomato攻擊行動,組合攻擊CVE-2012-0158和CVE-2014-1761漏洞,攜帶Zbot攻擊載荷。最近,我們發(fā)現(xiàn)這一組織仍然在活躍,并利用被攻陷的網站作為木馬更新的地址。
事件時間線
到達系統(tǒng)的方式
攻擊者通常使用郵件的方式,攜帶含有漏洞攻擊的附件,我們監(jiān)控到的發(fā)件者IP定位均在美國。這種方式以電子郵件為誘餌,正文內容通常是清單、通知、快遞信息等等,誘使接收者點擊。一旦點擊之后,精心構造好的惡意文檔會利用Office套件的漏洞執(zhí)行指定命令,向系統(tǒng)內植入木馬等惡意程序。
以下是截獲到的RTF格式文檔的信息
基本信息
Shellcode
CVE-2012-0158漏洞利用分析
CVE-2012-0158是一個位于微軟Office系列軟件中的Buffer Overflow的漏洞,漏洞所在的模塊是MSCOMCTL ActiveX dll。ListView, TreeView等 ActiveX控件都要用到這一組件,也就是說所有調用這一dll的軟件都受到該漏洞的影響。通常該漏洞的利用以惡意的.rtf文檔形式出現(xiàn)。
有漏洞的函數如下
由于軟件作者錯誤判斷了拷貝字節(jié)的大小,導致可以向目標數組拷貝超長字節(jié),最終形成溢出,溢出的字節(jié)復制循環(huán)如下,
復制完成,函數返回時棧底的返回地址已經被覆蓋為jmp esp,函數返回時將直接轉到Shellcode執(zhí)行。
這個樣本的Shellcode如下,大致流程是獲取TEB->PEB->kernel32.dll的基地址->IAT
獲取GetProcAddress和LoadLibrary函數地址
調用URLDownloadToFile從指定URL下載文件
下載地址是http://www.pgathailand.com/which.exe,下載完成后調用WinExec運行。
攻擊載荷分析
www.pgathailand.com這個域名解析到的IP是128.199.127.7,該網站屬于泰國高爾夫球協(xié)會。
據歷史監(jiān)控,該網站目錄下曾監(jiān)測到大量惡意軟件樣本,疑似被黑。目前惡意軟件已清除。
黑客用已經入侵好的服務器作為木馬更新源,增加了對攻擊源頭的追溯難度。
這個木馬的基本信息如下。
MD55e9253e78527e6db7d2f1a1c0e4f7284
文件類型application/x-rar
文件大小200933
編譯時間2014-05-06 12:07:12
該文件是一個自解壓型程序,運行之后釋放出文件%TEMP%\RarSFX0\Hnmsiy.exe并執(zhí)行。
這是一個TROJ_Fareit木馬的變種。能夠竊取用戶賬號密碼,并下載和執(zhí)行Zbot家族木馬。
獲取以下文件,威脅登錄賬號安全。
%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\key3.db
%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\cert8.db
%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\secmod.db
%APPDATA%\Mozilla\Firefox\profiles.ini
%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\signons.sqlite
%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\signons2.txt
這些文件能添加系統(tǒng)自啟動項,并注入自身傀儡進程逃避檢測。該木馬會連接到C&C服務器,地址為http://209.133.221.62/%7Efifaregi/ifeoma/gate.php,這是一個典型的木馬C&C服務器URL pattern。
我們用交叉關聯(lián)的方法發(fā)現(xiàn)這個209.133.221.62的IP還與其他惡意軟件傳播活動有關,
其在9月18日對外發(fā)送過釣魚郵件。
整個行動的流程示意圖
目標地理分布
目標行業(yè)分布
受感染操作系統(tǒng)
總結
雖然該案例看似舊瓶裝新酒,但對一些中小企業(yè)還是有比較大的殺傷力。由于軟件版本過舊以及補丁不及時,往往給漏洞利用留下通道。加上企業(yè)內部人員安全意識參差不齊,防病毒和入侵檢測系統(tǒng)部署不到位,容易一封魚叉式釣魚郵件即可直達內網,嚴重威脅企業(yè)信息安全,造成重要信息外流。未來的企業(yè)信息安全要著眼于構建多層防護體制,同時也要加強員工信息安全培訓,養(yǎng)成良好的安全意識,不隨意打開陌生來源的郵件附件,定期更新系統(tǒng)和應用軟件補丁,定期升級安全軟件特征庫。
本文涉及到的樣本哈希值和相關域名/IP信息如下。
京公網安備 11010502049343號