Windows任意代码执行0day(CVE-2014-4114)分析报告


发布人:admin分类:网络安全浏览量:31发布时间:2017-12-12

明天发布补丁的windows 所有平台都可以触发的 OLE包管理INF 任意代码执行漏洞,CVE-2014-4114。该漏洞影响win vista,win7等以上操作系统,利用微软文档就可以触发该漏洞,而且该漏洞为逻辑漏洞,很容易利用成功。当前样本已经扩散且容易改造被黑客二次利用。预计微软补丁今晚凌晨才能出来,翰海源提醒用户在此期间注意不要打开陌生人发送的office文档。

该漏洞最先是从iSIGHT Partners厂商发布的公告上宣称发现了新的0day用于俄罗斯用在搞北约的APT攻击中,并命名SandWorm。
iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign。

样本为PPS 类型,打开之后自动播放直接触发利用成功。

从virustotal的链接来看,样本第一次的提交时间是在8月13号,已经在外面漂泊起码2个月以上,

Virustotal

样本一开始在virustotal上面所有的杀毒软件都检测不到,

该漏洞本身的载体文件无需任何shellcode、内嵌木马,若只基于检测这些点的扫描引擎、安全设备则无能为力。从这里也可以看出单纯的杀毒软件防护无法阻止高级威胁的0day样本攻击,必须从整个攻击的生命周期进行检测。世界上只有10种人,一种是知道自己被黑了,一种是不知道自己被黑了。

当然了,加特征还是可以的,比如2个小时左右,这不国内的2家死对头公司纷纷更新了规则,成了榜上的一对好基友,不过这个Generic总觉得哪里不对啊。

攻击样本解压之后可以看到embeddings\oleObject2.bin只包含一串webdav的路径
该路径为触发的核心

embeddings\oleObject1.bin 包含了具体马的路径

当前这个地址还是活的,不过只能通过vpn去连接,可以下载到里面的一些其他攻击文件

经过初步分析,该漏洞在加载OLE PACKAGE时,当遇到inf时,去调用
C:\Windows\System32\InfDefaultInstall.exe 去执行下载下来的inf文件。构造一个特定的inf,让其加载同目录文件,从而造成了远程任意代码执行。

该漏洞的利用可以结合7月28号 麦咖啡发的一篇blog
Dropping Files Into Temp Folder Raises Security Concerns
一起看。上面介绍到了一个rtf样本利用package activex control,在打开这个rtf文件时,会在当前用户的临时目录下创建任意名称指定内容的文件。麦咖啡也提到了这可能是一个潜在的风险,特定情况下会造成恶意代码的加载执行。
如果能随机化这个路径名,那么此次0day攻击中的样本通过inf的方式也比较难利用。

翰海源星云V2多维度威胁检测系统靠多个维度来检测高级威胁,此次攻击中虽然攻击样本本身很难检测到,但是其一系列的后续执行星云都可以检测到。如此次攻击中的slide1.gif 木马,星云系统的沙箱无需任何更新及可以检测到。

各位小伙伴可以查看文件B超上面的检测结果
https://www.b-chao.com/index.php/Index/show_detail/Sha1/61A6D618BB311395D0DB3A5699A1AB416A39D85B

服务器上面其他的木马文件的检测结果 如 default.txt
https://www.b-chao.com/index.php/Index/show_detail/Sha1/4D4334FF0545717B3ADC165AB6748DCE82098D97
view.ph
https://www.b-chao.com/index.php/Index/show_detail/Sha1/118206D910F0036357B04C154DA8966BCCCD31B4

同时该样本的攻击方式中也会命中星云系统的另一个检测算法(高级攻击中常用的,暂不透露啦)

同时翰海源安全团队也及时响应,发布了星云对该CVE的NDAY检测规则,该漏的的利用方式的样本通过该升级包升级之后也可以直接检测到。


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21464794(PV) 页面执行时间:75.491(MS)
  • xml
  • 网站地图