近期360天眼尝试室捕获到一例针对印度的定向打击样本,样本操作了沙虫缝隙的补丁绕过缝隙CVE-2014-6352,经分析确认后我们认为这是趋势科技在本年三月份颁布的名为“Operation C-Major”APT打击勾当的新样本。关于C-Major步履的相关内容,有兴趣的读者可以在文后的参考链接中检察。
本文主要对CVE-2014-6352缝隙做根基的分析并分解一个现实中操作此缝隙执行定向打击的案例。
缝隙分析
样本操作的缝隙为CVE-2014-6352,该缝隙是CVE-2014-4114的补丁绕过(MS14-060)问题,在打点员模式或者封锁UAC的情况下可以实现不弹出警告窗运行嵌入的恶意措施。与CVE-2014-4114的操作样真对比,CVE-2014-6352样本的特点是没有嵌入inf,只有一个嵌入PE的OLE东西。从打击者的角度看,这类样本可以说有利有弊。在打点员模式下,可以无警告窗执行PE文件,绕开MS14-060的补丁。但是如果不是在打点员模式下,就算受害者没有安置MS14-060的补丁,也会弹窗提示是否要执行嵌入的EXE文件。
我们知道CVE-2014-4114缝隙的成因在于packager.dll的CPackage::Load要领加载对应的OLE复合文档东西时,对差别类型的复合文档有差此外措置惩罚惩罚流程,此中对某些复合文档嵌入的不成信来源文件没有颠末措置惩罚惩罚,从而使得打击者可以通过伪造OLE复合文档的CLSID来到达执行特定文件的效果:

packager!Cpackage:: Load要领中措置惩罚惩罚差别类型复合文档的分支
在MS14-060这个补丁中,微软通过添加MarkFileUnsafe函数来弥补这个缝隙:

ms14-060补丁中的packager!Cpackage:: EmbedReadFromStream要领

未安置ms14-060的packager!Cpackage:: EmbedReadFromStream要领
MarkFileUnsafe()通过挪用IZoneIdentifier::SetId来设置文件的Security Zone,传入的参数3对应的是设置URLZONE_INTERNET,从而标明此文件来自于其他计算机,运行时会弹出警告窗口:


然而缝隙并不只仅只是未对不成信来源的文件措置惩罚惩罚,打击者还可以通过伪造OLE复合文档的CLSID和XML中的OLE Verb来转变执行流程。问题还在于对一个exe文件来说,即使被符号了URLZONE_INTERNET之后,右键点击以打点员权限运行时,将不会再弹窗提示该文件来自于其他计算机,而是以UAC的提示窗弹出:

所以只需要结构特定的CLSID和OLE Verb,使执行流程来到右键界面的第二项打点员权限运行EXE措施,那么在封锁UAC或者打点员权限的情况下,就能绕过MS14-060补丁施加的限制。下面我们结合此次从外面捕获到的样原来展示一下整个缝隙操作的过程。
样天职析
首先我们拿到了一个名为vedio.ppsx的PPT文件,MD5为b6a1ee16de885c70682a7a8e4c1b556c ,从VirusTotal的上传来源看为来自印度。对这个ppsx解压措置惩罚惩罚,可以看到其内嵌了一个OLE东西,嵌入的是一个PE文件:


在video.ppsx\ppt\slides\slide1.xml中,指定了嵌入的东西id = rId3

在video.ppsx \ppt\slides\_rels\ slide1.xml.rels中指定了rId3对应的是前面提到的oleObject1.bin

复合文档对应的CLSID 如下图,是{0003000c-0000-0000-c000-000000000046},对应的是CLSID_OldPackage,那么按照上面的分析,CPackage::Load挪用CPackage::PackageReadFromStream进一步措置惩罚惩罚,PackageReadFromStream会通过CPackage::EmbedReadFromStream在姑且目录释放嵌入的PE文件。

packager!CPackage::EmbedReadFromStream中挪用了 packager!CopyStreamToFile这个函数,将嵌入的PE释放到temp目录下的putty.exe,并通过MarkFileUnsafe设置文件符号:

然后,通过CPackage::DoVerb要领来响应终端用户的行动,在 CPackage::DoVerb中,会先对第二个参数进行判断,这个参数在video.ppsx\ppt\slides\slide1.xml中指定:


样本中结构的参数是3,所以进入使用popup菜单命令执行操纵的流程:

挪用GetMenuItemInfo时,第二个参数uItem代表菜单的位置,这里参数为1,也就是右键菜单的第二项,对付exe文件,右键菜单的第二项是“以打点员权限运行”

最终挪用了SHELL32!CDefFolderMenu::InvokeCommand要领,这时就会以试图打点员权限运行putty.exe,在封锁了UAC或者打点员模式下,就绕过了MS14-060的掩护静默地执行了一个PE文件。
所释放措施的分析
putty.exe
ppt文件释放出来的putty.exe实际上是一个改名后的颠末混淆的.NET 措施,MD5为 78fab9978ae4de4f684908f47fdc2333 ,这个措施其实是一个Dropper。
颠末去混淆后,我们可以清楚地看到其措施代码,首先遍历是否有杀软进程:

样本在这里其实不是一次遍历查找,而是分成多次遍历穿插在成果代码中,每次查找一到两款杀软的进程,查找的杀软进程如下:
ekrn.exe(ESET)
guardxkickoff.exe(IKARUS)
AvastSvc.exe
btagent.exe
bdagent.exe(BitDefender)
avgui.exe。
然后从资源中读取数据,并解密为一个PE文件

启动cmd进程,将自身拷贝成%temp%\net\health.exe并添加注册表启动项


HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows - load这个值可以指定在用户登录后自动运行的措施文件名。
然后将RegAsm.exe拷贝为%temp%\svhost.exe



接着以Suspend方法启动svhost.exe,将之前解密出来的PE注入,并恢复线程。

最后在%temp%/net/目录下写入health.exe.bat文件并执行

health.exe.bat的代码如下,感化是不停遍历进程检察svhost.exe是否启动,没有启动的话则将其启动。

svhost.exe
在HKEY_CURRENT_USER中设置一个值di用于判断是否已经传染过该系统:

设置HKEY_CURRENT_USER\Environment\SEE_MASK_NOZONECHECKS的值为1,这是用于封锁附件打点器查抄的:

然后用命令行启动netsh.exe,添加防火墙法则,允许其通过防火墙

命令行如下
netsh   firewall add allowedprogram "C:\Users\***\AppData\Local\Temp\svhost.exe"   " svhost.exe" ENABLE
申请一片内存空间用于存放接收/发送的数据,开始网络连接:

C&C地点: 191.101.23.190

端标语: 5552

收集受害者的系统信息,包孕上线时间、系统版本、系统位数、磁盘信息、当前用户等等,并发送出去:

然后开启一个线程循环盘问socket是否可读(接收命令):

读取命令后,开启新线程按照指令执行对应的操纵:

开启键盘记录线程,并将记录信息生存在注册表HKEY_CURRENT_USER\SoftWare\ ce99f8fa1676b15364293a0db3d6a707中:


设置自启动项:


接收命令后,对命令做出相应的措置惩罚惩罚,在switch中按照命令执行对应的成果,这里就不再详细分析,下面给出部分成果与对应的命令,如下:
rn
下载/执行文件
CAP
屏幕监控
un
自删除、启动和终止进程
up
在线更新
Ex
加载插件
GTV
获取注册表HKEY_CURRENT_USER\SoftWare\ ce99f8fa1676b15364293a0db3d6a707中的键盘记录信息
STV
设置注册表HKEY_CURRENT_USER\SoftWare\ ce99f8fa1676b15364293a0db3d6a707开始键盘记录
…..
……
IOC
类型
值
C&C
191.101.23.190:5552
Downloader URL

总结
在网上果然的IOC平台中发明,该C&C地点与趋势科技在本年三月份颁布的“Operation C-Major”呈报中的一个C&C完全一致。此外,样本下载的域名pcdopune.com关联到的其他样本中,也呈现了与呈报中几乎一样的恶意宏样本,由此我们认为这是与C-Major相关的打击步履。
按照360威胁谍报中心的数据,我们发明本文所涉及的样本仅仅只是C-Major步履中使用的多种Dropper中的一种类型,CVE-2010-3333、CVE-2012-0158等缝隙也被操作来做恶意代码的植入,不只如此,甚至还操作了宏和脚本,所使用的PE样本更是灵活多变。从这些迹象来看C-Major步履背后团伙非常积极地操作所能得到各类植入手段,极有可能是专业的有配景及必然技术能力的组织。