明天發(fā)布補(bǔ)丁的windows 所有平臺(tái)都可以觸發(fā)的OLE包管理INF 任意代碼執(zhí)行漏洞，CVE-2014-4114。該漏洞影響win vista,win7等以上操作系統(tǒng)，利用微軟文檔就可以觸發(fā)該漏洞，而且該漏洞為邏輯漏洞，很容易利用成功。當(dāng)前樣本已經(jīng)擴(kuò)散且容易改造被黑客二次利用。預(yù)計(jì)微軟補(bǔ)丁今晚凌晨才能出來(lái)，翰海源提醒用戶(hù)在此期間注意不要打開(kāi)陌生人發(fā)送的office文檔。

該漏洞最先是從iSIGHT Partners廠(chǎng)商發(fā)布的公告上宣稱(chēng)發(fā)現(xiàn)了新的0day用于俄羅斯用在搞北約的APT攻擊中，并命名SandWorm。

iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign。

樣本為PPS 類(lèi)型，打開(kāi)之后自動(dòng)播放直接觸發(fā)利用成功。

從virustotal的鏈接來(lái)看，樣本第一次的提交時(shí)間是在8月13號(hào)，已經(jīng)在外面漂泊起碼2個(gè)月以上，

Virustotal

樣本一開(kāi)始在virustotal上面所有的殺毒軟件都檢測(cè)不到，

該漏洞本身的載體文件無(wú)需任何shellcode、內(nèi)嵌木馬，若只基于檢測(cè)這些點(diǎn)的掃描引擎、安全設(shè)備則無(wú)能為力。從這里也可以看出單純的殺毒軟件防護(hù)無(wú)法阻止高級(jí)威脅的0day樣本攻擊，必須從整個(gè)攻擊的生命周期進(jìn)行檢測(cè)。世界上只有10種人，一種是知道自己被黑了，一種是不知道自己被黑了。

當(dāng)然了，加特征還是可以的，比如2個(gè)小時(shí)左右，這不國(guó)內(nèi)的2家死對(duì)頭公司紛紛更新了規(guī)則，成了榜上的一對(duì)好基友，不過(guò)這個(gè)Generic總覺(jué)得哪里不對(duì)啊。

攻擊樣本解壓之后可以看到embeddings\oleObject2.bin只包含一串webdav的路徑

該路徑為觸發(fā)的核心

embeddings\oleObject1.bin 包含了具體馬的路徑

當(dāng)前這個(gè)地址還是活的，不過(guò)只能通過(guò)vpn去連接，可以下載到里面的一些其他攻擊文件

經(jīng)過(guò)初步分析，該漏洞在加載OLE PACKAGE時(shí)，當(dāng)遇到inf時(shí)，去調(diào)用

C:\Windows\System32\InfDefaultInstall.exe 去執(zhí)行下載下來(lái)的inf文件。構(gòu)造一個(gè)特定的inf，讓其加載同目錄文件，從而造成了遠(yuǎn)程任意代碼執(zhí)行。

該漏洞的利用可以結(jié)合7月28號(hào) 麥咖啡發(fā)的一篇blog

Dropping Files Into Temp Folder Raises Security Concerns

一起看。上面介紹到了一個(gè)rtf樣本利用package activex control，在打開(kāi)這個(gè)rtf文件時(shí)，會(huì)在當(dāng)前用戶(hù)的臨時(shí)目錄下創(chuàng)建任意名稱(chēng)指定內(nèi)容的文件。麥咖啡也提到了這可能是一個(gè)潛在的風(fēng)險(xiǎn)，特定情況下會(huì)造成惡意代碼的加載執(zhí)行。

如果能隨機(jī)化這個(gè)路徑名，那么此次0day攻擊中的樣本通過(guò)inf的方式也比較難利用。

翰海源星云V2多維度威脅檢測(cè)系統(tǒng)靠多個(gè)維度來(lái)檢測(cè)高級(jí)威脅，此次攻擊中雖然攻擊樣本本身很難檢測(cè)到，但是其一系列的后續(xù)執(zhí)行星云都可以檢測(cè)到。如此次攻擊中的slide1.gif 木馬，星云系統(tǒng)的沙箱無(wú)需任何更新及可以檢測(cè)到。

各位小伙伴可以查看文件B超上面的檢測(cè)結(jié)果

https://www.b-chao.com/index.php/Index/show_detail/Sha1/61A6D618BB311395D0DB3A5699A1AB416A39D85B

服務(wù)器上面其他的木馬文件的檢測(cè)結(jié)果 如 default.txt

https://www.b-chao.com/index.php/Index/show_detail/Sha1/4D4334FF0545717B3ADC165AB6748DCE82098D97

view.ph

https://www.b-chao.com/index.php/Index/show_detail/Sha1/118206D910F0036357B04C154DA8966BCCCD31B4

同時(shí)該樣本的攻擊方式中也會(huì)命中星云系統(tǒng)的另一個(gè)檢測(cè)算法(高級(jí)攻擊中常用的，暫不透露啦)

同時(shí)翰海源安全團(tuán)隊(duì)也及時(shí)響應(yīng)，發(fā)布了星云對(duì)該CVE的NDAY檢測(cè)規(guī)則，該漏的的利用方式的樣本通過(guò)該升級(jí)包升級(jí)之后也可以直接檢測(cè)到。