欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

运用受到感染的PPT文件来躲避UAC的检测策略

来源:本站整理 作者:佚名 时间:2017-09-22 TAG: 我要投稿

新式PPT进犯流程
FortiGuard 实验室最近发现了一种新的歹意PPT文件,名为ADVANCED DIPLOMATIC PROTOCOL AND ETIQUETTE SUMMIT.ppsx,阅读幻灯片能够发现该歹意文件针对的目标为联合国组织、交际使馆、国际组织及与他国政府有交往的人,我们将会剖析此歹意PPT文件会如何操控你的体系,以下是大约的进犯流程。

图1 进犯流程图
CVE-2017-0199
进犯使用了CVE-2017-0199缝隙,该缝隙于2017年4月公布并修复,当在微软Office或WordPad下解析特殊结构的文件时会触发长途代码履行,在微软Office的OLE接口下成功使用此缝隙的进犯者能够操控感染的计算机体系,WayneLow[1]很好地剖析过该缝隙。
这现已不是第一次遇到进犯者使用该缝隙了,之前我们见过此缝隙被用在传播REMCOS RAT歹意软件的PPT幻灯片中,不过这次进犯差异于基于鼠标移动的PPT文件进犯,使用ppaction://protocol建议PowerShell指令,打开感染的PPT文件时会触发ppt/slides/_rels/slide1.xml.rels中的脚本,然后从hxxp://www[.]narrowbabwe[.]net:3345/exp[.]doc下载长途代码,使用PPT动画播映特性履行代码,歹意结构的文件在Target后有很多的空格来逃避YARA检测(YARA是仅有软件剖析检测工具)。

图2 使用CVE-2017-0199的PPSX文件
观察文件履行时的网络流量能够看到特意结构的文件成功使用了缝隙并下载履行了exp.doc文件,这不是doc文件而是一个包含javascriot代码的XML文件。

图3 PPTX文件的网络流量
UAC绕过提权
从XML文件中提取出JavaScript代码后能够看到它会在%Temp%\Microsoft_Office_Patch_KB2817430.jse中写入一个文件,文件名仿照了微软Office的补丁名来降低可疑度并试图展现合法文件的行为,但明显并非如此。

图4 嵌入JavaScript代码的XML文件
此样本除了使用CVE缝隙外还使用了绕过WindowsUAC安全策略的技能来以高权限履行代码,更高的权限等同于更多的授权和更多被答应的行为。UAC绕过技能包含绑架HKCU\software\classes\mscfile\shell\open\command中的注册表并履行eventvwr.exe,你能够在这里[2]更深化的了解UAC绕过和权限提高相关的技能。

图5 绕过UAC策略的注册表添加项
剖析JavaScript
以高权限运行的Microsoft_Office_Patch_KB2817430.jse歹意软件包含以下代码:

图6 Microsoft_Office_Patch_KB2817430.jse文件
在以上代码中,WMI ActiveScriptConsumers得到了持久使用,创立定时器事件使得脚本每12秒履行一次,运行它的脚本编码存储在注释中。

图7 解码后的脚本
从JPG文件中获取C&C服务器信息
解码注释中的代码后,脚本读取下列注册项,如果不存在就创立它们。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Seed0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Feed0

图8 名为Feed0和Seed0的注册表向项
写入到注册表项中的值经过了Microsoft_Office_Patch_KB2817430.jse文件的硬编码,解码后值为hxxp://narrowbabwe[.]net/comsary/logo[.]jpg,脚本建议对此URL的恳求,可是不会有任何回应,凭借VirusTotal能够获取到/logo.jpg文件。

图9 篡改的jpg文件
有了/logo.jpg后能够持续剖析样本,jpg文件有一损坏部分,这意味着进犯者篡改了图片以躲藏一些数据,躲藏信息/数据这是十分有效的技能由于jpg文件一般被认为对错歹意文件。

图10 获取躲藏数据的代码
代码获取了Response_Text长度或许文件结尾并截取0x80h长度,作为编码数据的开始部分,if句子比较jpg文件中硬编码的值为95,2,7的符号。如果不满足if条件则无返回值,如果匹配到符号,则会从i偏移处获取44字符长度的substr,作为编码的URL。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载