【漏洞预警】传播银行类木马的Office 0day漏洞

http://p6.qhimg.com/t01f5052994e17de40a.jpg

传送门

【漏洞分析】CVE-2017-0199:分析 Microsoft Office RTF 漏洞


微步在线威胁情报通报


编号:TB-2017-0003

报告置信度:90

TAG:微软、Office、0day、漏洞、钓鱼邮件、Dridex

TLP:黄 (仅限接受报告的组织内部使用)

日期:2017-04-11


更新


微步在线于北京时间4月11日向相关客户发出了本预警报告。

北京时间4月12日,微软发布了该漏洞的紧急修复补丁,漏洞编号CVE-2017-0199。鉴于该漏洞广泛存在于Office所有版本,且目前已经用于真实的攻击中,因此我们建议Office用户尽快更新操作系统,使用微软最新补丁修补该漏洞。

微步在线预计,CVE-2017-0199作为Office流行漏洞的新宠,会在未来几年被越来越多的团伙用于真实攻击中。普通用户、企业用户以及企业信息安全管理人员需要对此保持高度警惕。


摘要


近日,国外安全厂商McAfee和FireEye发布文章称发现了一个Office零日漏洞被用于真实攻击中,且该漏洞适用于Office所有版本,危害性极高,但并未进一步披露相关攻击样本。

微步在线成功监测发现了一批利用该漏洞进行攻击的样本。样本执行成功后,会下载银行类木马Dridex盗取用户的网银登陆凭证等信息。使用微步在线的狩猎系统发现了更多同类型Dridex木马,说明目前已经有团伙利用该零日漏洞传播银行类木马Dridex。其他发现还有:

从样本中分别提取了25条IOC和2条Yara规则,可用于内网失陷检测,具体IOC请参考附录。

从样本关联的C&C地址分析发现,攻击者主要通过钓鱼邮件传播银行木马Dridex,该木马会盗取用户的网银账号等信息,进一步可能会造成资金损失。

攻击样本通过邮件附件形式发送给目标用户,因此建议用户对不明来源的邮件保持高度警惕。

微步在线的威胁情报平台也已支持相关攻击的检测,如需微步在线协助检测,请与我们联系 contactus@threatbook.cn.


详情


2017年4月7日、8日,McAfee和FireEye两家安全公司分别发布文章,称在一些钓鱼邮件的附件中检测到了恶意的Microsoft Office文档,这些文档内嵌OLE对象,一旦该被打开就会从远程服务器下载伪装成正常RTF文件的恶意.HTA文件并执行,从而进一步下载更多恶意软件,不需要用户打开宏功能以及做更多操作。分析认为这些恶意文档利用了一个Office的0Day漏洞,该漏洞可影响所有Windows操作系统之上的所有Office版本,包括在Windows 10上运行的最新Office 2016,危害程度极高。目前发现最早的攻击事件可能发生在2017年1月下旬。

微步在线捕获了一批利用该漏洞的攻击样本,进一步分析发现相关攻击样本漏洞触发后,会下载银行木马Dridex,典型的样本执行流程如下:

用户收到含有恶意附件的钓鱼邮件。

打开存在Office 0Day漏洞的附件文档。

Word进程从攻击者控制的网站(btt5sxcx90.com)下载伪装的.HTA文件(template.doc)并启动。

template.doc执行后会继续从btt5sxcx90.com下载一个可执行程序(7500.exe)和一个无害Word文档(sample.doc),启动7500.exe并打开内容空白的sample.doc迷惑受害者。

7500.exe为一款名为Dridex网银木马,可进一步窃取用户的银行认证信息。

微步在线将继续对该事件的相关攻击样本进行进一步分析,对背后的攻击团伙进行溯源分析,并及时将相关进展和发现同步给客户。


检测措施


建议直接部署微步在线威胁情报平台进行检测,或者使用附录的IOC结合日志检测:

如,通过防火墙检查与IP 185.44.105.92的连接,或通过DNS日志检查附录中域名的请求记录。


行动建议


利用微步在线提供的威胁情报或者威胁情报平台进行检测,及时响应。

加强内部人员安全意识培训,不要打开或下载邮箱中任何可疑Word文档。

推荐打开windows自动更新,及时更新office补丁。


附录


C&C

http://btt5sxcx90.com/template.doc
http://www.btt5sxcx90.com/template.doc
http://rottastics36w.net/template.doc
185.44.105.92
64.79.205.100
185.25.184.214

木马文件SHA256
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Yara规则

rule hta_0day {
   meta:
      description = "hta0day"
      author = " Threatbook Labs "
      date = "2017-04-11"
      hash1 = "dedb1b4fd183a8ae55e9e03511930f410ac15ba40071518b5fe0b5dd6f366543"
   strings:
      $x1 = "6d652f7468656d654d616e616765722e786d6c0ccc4d0ac3201040e17da17790d93763bb284562b2cbaebbf600439c1a41c7a0d29fdbd7e5e38337cedf14d59b" ascii
      $s2 = "{\creatim\yr2014\mo5\dy11\hr10\min8}{\revtim\yr2014\mo5\dy11\hr10\min9}{\version1}{\edmins1}{\nofpages1}{\nofwor" ascii
      $s3 = "\paperw12240\paperh15840\margl1800\margr1800\margt1440\margb1440\gutter0\ltrsect " fullword ascii
      $s4 = "{\*\rsidtbl \rsid1538866\rsid9006829\rsid9990342\rsid12982921}{\mmathPr\mmathFont34\mbrkBin0\mbrkBinSub0\msmallFrac0" ascii
      $s5 = "ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff" ascii
      $s6 = "fffffffffffffffffdfffffffeffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff" ascii
      $s7 = "\widowctrl\ftnbj\aenddoc\trackmoves0\trackformatting1\donotembedsysfont0\relyonvml0\donotembedlingdata0\grfdocevents0" ascii
      $s8 = "0000000000000000000000000000000000000000000000000105000000000000}}" fullword ascii
      $s9 = "\ssemihidden \sunhideused \spriority1 Default Paragraph Font;}{\*" fullword ascii
      $s10 = "\lsdsemihidden1 \lsdunhideused1 \lsdqformat1 \lsdpriority39 \lsdlocked0 TOC Heading;}}{\*\datastore 010500000200000018000" ascii
      $s11 = "\lsdpriority70 \lsdlocked0 Dark List Accent 2;\lsdpriority71 \lsdlocked0 Colorful Shading Accent 2;\lsdpriority72 \lsdlock" ascii
      $s12 = "\lsdpriority67 \lsdlocked0 Medium Grid 1;\lsdpriority68 \lsdlocked0 Medium Grid 2;\lsdpriority69 \lsdlocked0 Medium Grid 3" ascii
      $s13 = "\lsdpriority69 \lsdlocked0 Medium Grid 3 Accent 1;\lsdpriority70 \lsdlocked0 Dark List Accent 1;\lsdpriority71 \lsdlocked0" ascii
      $s14 = "\lsdpriority67 \lsdlocked0 Medium Grid 1 Accent 4;\lsdpriority68 \lsdlocked0 Medium Grid 2 Accent 4;\lsdpriority69 \lsdloc" ascii
      $s15 = "\lsdpriority67 \lsdlocked0 Medium Grid 1 Accent 6;\lsdpriority68 \lsdlocked0 Medium      Grid 2 Accent 6;\lsdpriority69 \lsdloc" ascii
      $s16 = "\lsdpriority67 \lsdlocked0 Medium Grid 1 Accent 5;\lsdpriority68 \lsdlocked0 Medium Grid 2 Accent 5;\lsdpriority69 \lsdloc" ascii
      $s17 = "XMEN}{\rtlch\fcs1 \af0 \ltrch\fcs0 \insrsid9990342 " fullword ascii
      $s18 = "\lsdsemihidden1 \lsdunhideused1 \lsdqformat1 \lsdlocked0 heading 5;\lsdsemihidden1 \lsdunhideused1 \lsdqformat1 \lsdlock" ascii
      $s19 = "\lsdsemihidden1 \lsdunhideused1 \lsdqformat1 \lsdlocked0 heading 2;\lsdsemihidden1 \lsdunhideused1 \lsdqformat1 \lsdlock" ascii
      $s20 = "00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000" ascii
   condition:
      ( uint16(0) == 0x0a0a and filesize < 80KB and ( 1 of ($x*) and 5 of ($s*) ) ) or ( all of them )
}
rule hta_0day_7500_exe {
   meta:
      description = "hta0day - 7500_exe"
      author = " Threatbook Labs"
      date = "2017-04-11"
      hash1 = "1598c156bbd6bf0753e5cf4e82e9fd415dc926f881e3c4f71b1f5fc0e32912c0"
   strings:
      $s1 = "reureueuhjjsnjehuweiw.pdb" fullword ascii
      $s2 = "|$o:\$o" fullword ascii
      $op0 = { 89 cf 89 84 24 bc 01 00 00 89 84 24 bc 01 00 00 } /* Opcode */
      $op1 = { 89 51 04 89 01 a1 30 40 40 00 ff d0 83 ec 08 b9 } /* Opcode */
      $op2 = { 35 c1 40 73 4d 89 44 24 74 89 e0 89 4c 24 70 8b } /* Opcode */
   condition:
      ( uint16(0) == 0x5a4d and filesize < 400KB and ( all of ($s*) ) and all of ($op*) ) or ( all of them )
}

微软紧急发布Office更新补丁下载链接:

https://support.microsoft.com/en-us/help/4014793/title 


传送门


【漏洞分析】CVE-2017-0199:分析 Microsoft Office RTF 漏洞


(完)