在微软本月的更新补丁发布前，趋势科技昨日发布了最新零日漏洞“沙虫”(CVE-2014-4114)的分析报告，安全牛认为该漏洞分析是目前为止最清晰易懂的，因此赶紧整理出来给大家分享。

“沙 虫”(sandworm)漏洞影响vista、win7桌面操作系统以及windows2008服务器操作系统，据传该漏洞被俄罗斯网络间谍组织用来攻击 北约。该漏洞存在于动态链接库文件PACKAGER.DLL文件中，是Windows对象链接与嵌入功能的组成部分。黑客可以精心构造一个PPT文档，通 过远程共享文件夹复制一个.INF文件并安装到系统中。攻击者可利用这个逻辑缺陷执行另外的恶意软件。

该漏洞的高度危险性在于利用起来非常简单，由于它属于一种逻辑缺陷，攻击者无需建立Shellcode或是返回导向编程（ROP，一种绕过数据执行保护的方法）就可执行恶意软件，因而很难被大多数启发式检测方法检测到。

沙虫可以在用户没有察觉或允许的情况，通过以下2步“钻”进你的系统：
1.从远程共享文件夹复制文件；
2.安装已下载的.INF文件。
通过对.PPSX文件的样本分析(MD5 hash: 330e8d23ab82e8a0ca6d166755408eb1)以了解它的执行过程。解开这个攻击者精心构造的.ppsx文件，其内容如下：

下面是oleObject1.bin 和oleObject2.bin的内容，它指出已声明的OLE对象位于远程共享文件夹中：

而在Slide1.xml中，可以看到2个Shell打包对象rid4和rid5：

在slide1.xml.resl中，rId4和rId5被定义为两个OLE对象。

当 slide1被打开时，slide1.gif和slides.inf被packager.dll复制到本地，在slide1.xml中，某些行为被描述成 -3，另一些则为3。这两种行为当装载两个OLE对象时被调用，该过程可以在packager!CPackage::DoVerb()看到。

在slide1.gif文件中，如果参数是-3，函数就什么都不做。但如果是3，就安装.inf文件。下面的截屏就是当InfDefaultInstall.exe执行时的堆栈调用：

在 此之后，inf把slide1.gif重命名为slide1.gif.exe，然后在注册表中加入runonce值，在下次系统启动时，木马就可以自动运 行了。这个木马的文件名是TROJ_MDLOAD.PGTY，当成功执行后会下载INF_BLACKEN.A。这个恶意软件会下载和执行后门，后门的名字 为BKDR_BLACKEN.A。

因为此漏洞极其方便的可利用性，攻击者可以制作一种新的“弹头”（payload，一种核心执行功能的数据包，可方便的嵌入到各种恶意软件上）。

强烈建议用户及时安装微软今日将发布的安全补丁，并强烈建议不要打开未知来源的Powerpoint文件。
－－－

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛！