以银行为目标的Office 0day漏洞利用木马分析

步骤分析

近日,国外安全厂商McAfee和FireEye发现了一个针对银行的木马,该木马利用了一个Office零日漏洞发起攻击,危害性非常高,经过安恒研究院分析步骤如下:

1. 一个伪装为DOC后缀实则是RTF文件里包含了一个使用十六进制编码的 “OLE2Link”的对象,该对象包含了一个恶意的远程URL。用户打开文档执行的Winword.exe会远程下载该文件:

2. 该下载的doc实则是个变形的RTF文件,头部插入大量的回车。但因包含vbscript块会被Winword.exe调用application /hta运行处理:

操作1:将当前异常窗口移动到坐标-2000,-2000;

操作2:结束Winword.exe进程;

操作3:从“http://212.86.115.71/sage50.exe”下载并保存为“%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\winword.exe”,并运行;

操作4:从“http://212.86.115.71/Transactions.doc”下载并保存为“%temp%\document.doc”;

操作5:修改注册表项“HKCU:\Software\Microsoft\Office\15.0\Word\Resiliency”,防止文件恢复提示;

操作6:打开下载的“%temp%\document.doc”,显示诱饵文件掩盖系统异常。

该诱饵文件显示为

网银木马分析

sage50.exe为网银木马Dridex,可被安恒APT产品直接检测:

防护建议

针对此类攻击通常基于签名的检测方式很难识别,通过APT的恶意文件沙箱分析技术,可定位利用文件进行攻击的攻击进行,包括各种0day的攻击。安恒APT产品内置动态沙箱分析技术发现文件中的恶意行为,内部虚拟机可实现完全模拟真实桌面环境,所有恶意文件的注册表行为、敏感路径操作行为、进程行为、导入表信息、资源信息、段信息、字符串信息及运行截图等行为都将被发现,综合分析这些恶意行为,判断其中的可疑操作。

通过APT在行为分析方面的优势,通过沙箱分析网络中传输恶意文件的敏感行为,将行为分析结果同步FW、WAF等产品,一旦发现内网主动向外发起C&C连接,且发送数据量与接收数据量不对称,立即对该敏感行为进行阻断,实现对未知威胁的联动防护。

- END -

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-04-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Palo Alto Networks:新型恶意软件家族Reaver与SunOrcal存在一定联系

概要 Unit 42安全小组已经发现了一种新的恶意软件家族,并将其命名为“Reaver”。研究人员表示,这一新型恶意软件与在2016年针对中国台湾地区的黑客攻击...

27650
来自专栏blackpiglet

Discourse 搭建

Discourse 是由 Stack Overflow 创始人之一的 Jeff Atwood 主导的开源论坛项目,使用时能感受到和 Stack Overflow...

41720
来自专栏FreeBuf

魔波广告恶意病毒简析

1.病毒介绍 魔波广告恶意病毒通过仿冒浏览器,播放器和一些游戏等进行传播,一旦用户手机不慎被感染,该病毒将立即下载提权文件来获取 root权限,频繁推送广告,监...

25550
来自专栏施炯的IoT开发专栏

Windows 10 IoT Serials 1 - 针对Minnow Board MAX的Windows 10 IoT开发环境搭建

目前,微软针对Windows IoT计划支持的硬件包括树莓派2,Minnow Board MAX 和Galileo (Gen 1和Gen 2)。其中,Galil...

20660
来自专栏walterlv - 吕毅的博客

在 GitHub 公开仓库中隐藏自己的私人邮箱地址

2018-08-05 08:56

27510
来自专栏用户2442861的专栏

支付宝即时到帐接口的python实现,示例采用django框架

http://blog.csdn.net/hornbills/article/details/40338949

41810
来自专栏FreeBuf

揭秘来自中国的数字货币“挖矿”军团 – Bondnet僵尸网络

最近,以色列安全公司GuardiCore发现了一个名为Bondnet的僵尸网络,该僵尸网络由数万台被控制的具备不同功率的服务器肉鸡组成。从目前的情况来看,幕后运...

278100
来自专栏晓晨的专栏

ASP.NET Core 2.0 支付宝当面付之扫码支付

24920
来自专栏腾讯云安全的专栏

刚需 |Wannacry 勒索蠕虫病毒用户修复指引

24850
来自专栏www.96php.cn

thinkphp整合系列之微信扫码支付

thinkphp整合系列之微信扫码支付 一:导入sdk /ThinkPHP/Library/Vendor/Weixinpay 鹅厂的sdk那酸爽谁用谁知道;...

48190

扫码关注云+社区

领取腾讯云代金券