零日漏洞“沙虫”如何一步步进入你的系统 微软月补丁今日可到
作者:星期三, 十月 15, 20140

09在微软本月的更新补丁发布前,趋势科技昨日发布了最新零日漏洞“沙虫”(CVE-2014-4114)的分析报告,安全牛认为该漏洞分析是目前为止最清晰易懂的,因此赶紧整理出来给大家分享。

“沙 虫”(sandworm)漏洞影响vista、win7桌面操作系统以及windows2008服务器操作系统,据传该漏洞被俄罗斯网络间谍组织用来攻击 北约。该漏洞存在于动态链接库文件PACKAGER.DLL文件中,是Windows对象链接与嵌入功能的组成部分。黑客可以精心构造一个PPT文档,通 过远程共享文件夹复制一个.INF文件并安装到系统中。攻击者可利用这个逻辑缺陷执行另外的恶意软件。

该漏洞的高度危险性在于利用起来非常简单,由于它属于一种逻辑缺陷,攻击者无需建立Shellcode或是返回导向编程(ROP,一种绕过数据执行保护的方法)就可执行恶意软件,因而很难被大多数启发式检测方法检测到。

沙虫可以在用户没有察觉或允许的情况,通过以下2步“钻”进你的系统:
1.从远程共享文件夹复制文件;
2.安装已下载的.INF文件。
通过对.PPSX文件的样本分析(MD5 hash: 330e8d23ab82e8a0ca6d166755408eb1)以了解它的执行过程。解开这个攻击者精心构造的.ppsx文件,其内容如下:

下面是oleObject1.bin 和oleObject2.bin的内容,它指出已声明的OLE对象位于远程共享文件夹中:

而在Slide1.xml中,可以看到2个Shell打包对象rid4和rid5:

在slide1.xml.resl中,rId4和rId5被定义为两个OLE对象。


当 slide1被打开时,slide1.gif和slides.inf被packager.dll复制到本地,在slide1.xml中,某些行为被描述成 -3,另一些则为3。这两种行为当装载两个OLE对象时被调用,该过程可以在packager!CPackage::DoVerb()看到。

在slide1.gif文件中,如果参数是-3,函数就什么都不做。但如果是3,就安装.inf文件。下面的截屏就是当InfDefaultInstall.exe执行时的堆栈调用:

在 此之后,inf把slide1.gif重命名为slide1.gif.exe,然后在注册表中加入runonce值,在下次系统启动时,木马就可以自动运 行了。这个木马的文件名是TROJ_MDLOAD.PGTY,当成功执行后会下载INF_BLACKEN.A。这个恶意软件会下载和执行后门,后门的名字 为BKDR_BLACKEN.A。

因为此漏洞极其方便的可利用性,攻击者可以制作一种新的“弹头”(payload,一种核心执行功能的数据包,可方便的嵌入到各种恶意软件上)。

强烈建议用户及时安装微软今日将发布的安全补丁,并强烈建议不要打开未知来源的Powerpoint文件。
---

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛!

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章