以银行为目标的Office 0day漏洞利用木马分析

步骤分析

近日，国外安全厂商McAfee和FireEye发现了一个针对银行的木马，该木马利用了一个Office零日漏洞发起攻击，危害性非常高，经过安恒研究院分析步骤如下：

1. 一个伪装为DOC后缀实则是RTF文件里包含了一个使用十六进制编码的 “OLE2Link”的对象，该对象包含了一个恶意的远程URL。用户打开文档执行的Winword.exe会远程下载该文件：

2. 该下载的doc实则是个变形的RTF文件，头部插入大量的回车。但因包含vbscript块会被Winword.exe调用application /hta运行处理：

操作1：将当前异常窗口移动到坐标-2000,-2000;

操作2：结束Winword.exe进程；

操作3：从“http://212.86.115.71/sage50.exe”下载并保存为“%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\winword.exe”，并运行；

操作4：从“http://212.86.115.71/Transactions.doc”下载并保存为“%temp%\document.doc”；

操作5：修改注册表项“HKCU:\Software\Microsoft\Office\15.0\Word\Resiliency”，防止文件恢复提示；

操作6：打开下载的“%temp%\document.doc”，显示诱饵文件掩盖系统异常。

该诱饵文件显示为：

网银木马分析

sage50.exe为网银木马Dridex,可被安恒APT产品直接检测：

防护建议

针对此类攻击通常基于签名的检测方式很难识别，通过APT的恶意文件沙箱分析技术，可定位利用文件进行攻击的攻击进行，包括各种0day的攻击。安恒APT产品内置动态沙箱分析技术发现文件中的恶意行为，内部虚拟机可实现完全模拟真实桌面环境，所有恶意文件的注册表行为、敏感路径操作行为、进程行为、导入表信息、资源信息、段信息、字符串信息及运行截图等行为都将被发现，综合分析这些恶意行为，判断其中的可疑操作。

通过APT在行为分析方面的优势，通过沙箱分析网络中传输恶意文件的敏感行为，将行为分析结果同步FW、WAF等产品，一旦发现内网主动向外发起C&C连接，且发送数据量与接收数据量不对称，立即对该敏感行为进行阻断，实现对未知威胁的联动防护。

- END -