对利用CVE-2017-0199漏洞的病毒变种的监测与分析

一、 漏洞简介

CVE-2017-0199漏洞是一个Office远程执行代码漏洞,该漏洞利用Office OLE对象链接技术,将伪装的恶意链接对象嵌在文档中,由Office调用URL Moniker(COM对象)将恶意链接指向的HTA文件下载到本地,通过识别响应头中content-type的字段信息调用mshta.exe执行下载的HTA文件。

受该漏洞影响的Microsoft Office版本包括:Microsoft Office 2016、Microsoft Office 2013、Microsoft Office 2010和Microsoft Office 2007。

在补丁发布之前,该漏洞的利用代码能够绕过大多数安全措施,但安天仍检测到了相关的恶意文件。例如,安天在对勒索病毒Petwrap(Petya变种)的跟踪分析中发现其使用的传播方法正是Microsoft Office远程执行代码漏洞CVE-2017-0199。

二、安天追影对样本的分析

在对利用CVE-2017-0199漏洞的一些样本及变形的分析中得出了该类样本的一些惯用攻击手法。这些样本无论采用何种混淆方式,使用何种载体类型,都具备如下的一个典型攻击过程。

图:利用CVE-2017-0199漏洞的典型攻击过程示意图

根据上述攻击过程,安天追影对利用CVE-2017-0199漏洞的一个典型样本的分析如下。

1、样本信息

2、检测环境

3、执行过程

在检测环境中打开被检测的文件,弹出如下窗口。

Winword.exe运行后,内嵌的OLE-LINK对象会自动调用远程的资源更新,向远程服务器发出HTTP请求,以进行资源下载。安天追影中截获的URL如下:

在虚拟机中连接网络时存在两种情况:

1)安天追影不具备连接外网的条件,或攻击者远程命令与控制服务器已失效

在此情况下,虽然获取不到真实的payload,但仍然可以根据OLE对象嵌入和发送HTTP请求的可疑行为,产生相应的报警。目前,安天追影能够对网络访问做出简单的模拟响应,并自动提取到该样本尝试访问的网络连接,此线索可作为进一步分析的依据。

2)安天追影具备连接外网的条件,且攻击者的远程命令与控制服务器仍正常工作

这种情况下,安天追影的动态分析环境能够访问真实的互联网,样本在运行中能够成功地访问到存放恶意文件的C2服务器,下载C2服务器上的恶意文件并执行。安天追影可对其执行过程进行监控、payload提取和分析、行为采集并输出报告。

文件元数据鉴定器能够提取完整的文件信息,作者、标题、大小及文件类型(如下图所示),这些信息可供人工进一步分析。

4、检出行为

5、分析结果

三、安天追影的产品优势

1、有效漏洞触发

安天追影支持多种虚拟环境,通过环境模拟还原样本运行的真实环境,模拟交互操作,最大可能地触发行为,包括漏洞利用。并且通过检测结果的回溯可以发现对未知漏洞的利用行为,为人工分析未知漏洞的关键过程提供有效数据支撑。

2、深度行为揭示

恶意文件无论采取何种加密或混淆方式,最终是要在目标系统上发起恶意的行为操作。安天追影可通过动态还原恶意样本的执行过程,利用hook和注入技术监测样本各执行阶段的操作,采集实时运行数据,根据自定义规则进行行为判定,深度输出样本行为。

3、产生威胁情报

安天追影属于沙箱类产品,此类产品的意义不仅在于是否能精确检测文件黑白,更在于监视样本运行中的动作行为、运行轨迹,提取出危险行为及信息,如文档的创建时间、作者、标题、文件类型、涉及的IP、URL、域名等。提取的威胁信息可作为情报数据基础,供分析人员进一步关联分析。

四、安天追影的部署场景

1、与安天产品联动,形成完整安全解决方案鉴定结果

1)与安天探海威胁检测系统联动

安天探海威胁检测系统可将网络流量还原为文件,并判定文件安全性,结合追影的深度鉴定能力,安天探海威胁检测系统可更准确展现网络安全态势,为用户掌握全网安全情况、做出安全预警、采取安全防护措施提供有力支撑。

2)与安天智甲终端防御系统联动

安天智甲终端防御系统可对网内所有终端(主机、PC等)进行安全防护,结合安天追影的深度鉴定能力,安天智甲终端防御系统可更快、更准发现威胁并根据配置进行处置。

2、单独部署

安天追影单独部署到用户内部网络中,对投放至安天追影中的文件进行深度鉴定,并输出鉴定结果。鉴定结果可用于未知样本分析研究、已知病毒样本分析研判等。

3、与第三方产品联动,增强第三方产品安全鉴定能力

安天追影可通过其标准API接口与第三方产品联动,第三方产品即将文件投放到安天追影中进行鉴定。

1)与防火墙联动:为防火墙提供文件安全属性,帮助防火墙有效阻断内、外部威胁。 2)与FTP服务器联动:对FTP服务器中文件安全性进行鉴定,用户可根据鉴定结果对文件采取不同处理措施。 3)与IPS联动:增强IPS产品的威胁识别能力。 4)与OA系统联动:对文件进行鉴定分析,根据鉴定结果标识文件,方便文件管理。 5)文件存储服务器:对服务器上的文件进行鉴定分析,根据鉴定结果对文件进行管理。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-12-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安智客

GP TEE安全轮廓之攻击路径举例

前述GP TEE PP文档内容,参照: 我们一起来学习CC认证之GP TEE PP保护轮廓(一) GP TEE之安全威胁分析 GP TEE安全资产问题分析 下...

25390
来自专栏云加头条

智能云上手指南:如何接入腾讯云开放的计算机视觉能力?

本文将为广大云开发者介绍如何接入腾讯开放的计算机视觉能力,即万象优图。

66930
来自专栏沈唁志

如何简单计算PHP网站是否已经最高负载

27550
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–凭证分割(165)-1业务概览

28240
来自专栏吴伟祥

MySQL基准测试 转

基准测试是  指通过设计科学的测试方法、测试工具和测试系统,实现对一类测试对象的某项性能指标进行定量的和可对比的测试。例如,对计算机CPU进行浮点运算、数据访问...

18630
来自专栏FreeBuf

使用Python以及C++简单绕过反爬虫机制

0x00 某些网站有反爬虫的机制 对于刚学习了几天python的我,对爬虫颇有兴趣,但是某些“想要的”网站上具有反爬虫机制,如果说使用延迟或者代理,这样的效率并...

272100
来自专栏iOSDevLog

Google Colab免费GPU教程

现在,你可以开发深度学习与应用谷歌Colaboratory -on的免费特斯拉K80 GPU -使用Keras,Tensorflow和PyTorch。

58850
来自专栏Python小屋

Python批量生成垃圾邮件内容

问题背景:这个文章的代码是为下一篇关于贝叶斯分类的文章做准备的,用来生成一些模拟的垃圾邮件。一般而言,垃圾邮件都是带有特定目的的,所以邮件中必然会包含一些特定的...

38960
来自专栏企鹅号快讯

理解正向代理与反向代理的区别

我们介绍了Nginx主要用来做反向代理,可能有些朋友并不很清楚什么是反向代理,本篇文章会介绍下反向代理和正向代理的不同之处: (一)正向代理 正向代理是一个位于...

40050
来自专栏进击的程序猿

Dynamo:Amazon的高可用性的键-值存储系统

Dynamo是一个分布式键值系统,最初用于支持购物车系统,强调的是提供一个“永远在线“的用户体验。

14720

扫码关注云+社区

领取腾讯云代金券