欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

在细节中捕获恶魔 :提高Cuckoo沙箱抓捕恶意Office病毒样本行为的功能

来源:本站整理 作者:佚名 时间:2017-09-12 TAG: 我要投稿

疑问沙箱和歹意代码行动
APT
鱼叉式网络垂纶进击
沙箱:Sandbox是功效强大的用于察看可履行文件或客户端应用法式破绽应用的行动的对象
Cuckoo Sandbox:最流行的开源沙箱环境
微软 Office 文档进击技巧
Office破绽漏洞
在Office Word中履行IE破绽应用
歹意的包对象
歹意的宏
微软 Office 文档破绽漏洞
栈溢出:CVE-2012-0158、CVE-2010-3333
UAF:MS12-060
范例混杂:CVE-2015-1641
逻辑破绽:CVE-2015-0097、CVE-2017-0199
微软 Office 歹意文档在 Cuckoo 中的测试成果
为何抉择Office文档:进击客户端最罕见的手腕
网络行动
数据源:Real Word、近来6年、10,000 样本集、多个杀软报毒


针对微软 Office 进击所应用的破绽/技能

成果

只要27%的样本表现出网络行动,此中大多数彷佛没有触发破绽

失败缘故原由
环境:分歧的跳转地点、破绽进击需要模块缺失
交互操纵:弹框、歹意包对象
加密:关上/改动 暗码、提早触发、挟制 法式/操纵体系/键盘、差错的关上形式、文件范例辨认、参数差错
分歧的跳转地点
跳转地点用于衔接破绽和shellcode
操纵体系:Windows XP/7
体系说话:Japanese、Korean、Traditional Chinese、Western
Office版本:Office 2007 en/cn
咱们网络的多种跳转地点

咱们网络的多种跳转地点

缺失破绽应用的需要模块
好比一些歹意RTF文档经由过程拔出ProgID为otkloadr.WRAssembly.1的ActiveX/COM objects来加载MSVCR71.DLL以用于绕过ASLR/DEP
DLL 信息

一些进击需要交互
在RTF文档中拔出未应用封闭标志“}”的“{\objdata”,能够绕过沙箱检测
当沙箱关上这种文档时,Office将弹出窗口关照用户“内存不足”,目的用户必需单击OK按钮能力触发该破绽
沙箱无奈关上受暗码保护的文档
设置Office文档的关上暗码以加密文档内容
设置Office文档的改动暗码其实不意味着文件内容将被加密,但关上文档时,您将需要输出一个暗码。
挟制应用法式、操纵体系
在注册表中增加启动项   
挟制IE,和方程式构造应用异样的进击技能
挟制键盘(未地下)
挟制操纵体系(部门未地下)

拔出歹意的EXE包对象Office文档中拔出EXE包对象,诱使目的手动运转可履行文件,沙箱无奈智能地履行嵌入的EXE文件PPT中拔出EXE包对象,并应用动画触发履行别的
Office 宏许多歹意样本应用宏履行代码,但Office对履行宏有提醒,沙箱无奈主动处置所需的交互
未准确联系关系的Office文档范例
MS Office支撑XML格局文档,但Cuckoo不辨认此类文档,以是不知道应用甚么应用法式关上
Word XML header

差错的关上形式
一些歹意Office样本经由过程应用MHTML等格局来绕过检测,假如咱们间接将文件名当成参数通报给WinWord.exe则无奈触发破绽进击,在这种环境下需要经由过程DDE通报参数
Cuckoo关上一份Office文档时未斟酌参数环境

在一个操纵体系下模仿一切的跳转地点
在代码页文件c_936.nls/unicode.nls中找到一切的跳转地点并添补opcode
在Office过程空间中请求/改动常用的跳转地点并添补opcode
需要改动的NLS文件和需要添补opcode的跳转地点

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载