沙虫(CVE-2014-4114)新变种惊现针对台湾的APT攻击事件中

Xecure lab在10月17号发现变种的0day漏洞 沙虫(CVE-2014-4114 )已经被用在 针对台湾政府以及各单位的APT攻击 中,目前主流的杀毒软件还没办法有效地检测。该变种能够直接内嵌恶意软件,并本地触发执行,不需要再从远程共享服务器上下载恶意代码。

一、介绍

可怕的是攻击者通过CVE-2014-4114漏洞利用INF自带的一个功能,完全不用写复杂的Shellcode,并可绕过目前安全防护机制,且稳定又粗暴,可以直接执行任何程序,这是黑客最爱的,而且少数出现专打 Office 2007 之后的 Exploit 。目前 Taidoor 与 LStudio恶意软件家族已经开始用在 APT Email 中,我们预计在半年内都会一直大流行。

CVE-2014-4114 的漏洞是在 2014-10-14 被 iSIGHT 所发现, 并且写一篇很精彩的分析报告 iSIGHT discovers zero-day vulnerabilityCVE-2014-4114 used in Russian cyber-espionage campaign , 研究人员称之为砂虫事件。据报导称,该漏洞最早出现今年9月被发现的攻击样本中,被利用在攻击乌克兰政府的APT邮件上,后来也被发现用在攻击北大西洋公约组织以及美国的一些单位。上周,微软发布了新的修补程序 MS14-060 ,基本上所有的Windows 有装 Office 2007, 2013都可能被攻击。由于微软已经在14号出了补丁,所以攻击者开始大规模利用在犯罪软件上,发挥剩余价值。欧洲发现CVE-2014-4114已经植入到BlackEnergy 恶意软件。

最早被公布的样本是 spiski_deputatov_done.ppsx(330E8D23AB82E8A0CA6D166755408EB1)

攻击者把恶意软件放到 94.185.85.122 的主机上,并用UNC(SMB/WebDav)共享UNC 文件夹,扩展名是GIF,但是本身是 EXE文件。这种方式在国外已经被非常广泛地应用。但APT 攻击者并不喜欢这种方式,一来因为实在是太高调了,首先它会使受害计算机向外网发起请求,并下载 EXE,只要稍微有点安全监控能力的单位,可以很轻易地在网络流量中发现与外网的SMB/WebDav链接,因为这种行为对企业或是政府单位来说大都是恶意的;二来,存放放数据的服务器IP地址会很快被曝光。因此大部分这种远程下载都是应用在银行木马或犯罪软件,APT攻击中比较少见。

二、样本分析

10月18号,Xecure lab期待已久的本地安裝版本的CVE-2014-4114出现了,新研发的变种目前还不能被各大病毒扫描软件或安全产品有效的检测。

1.样本04

从地方开始,赢回台湾.ppsx(7C8A14E6B070ED77845608734E2C90A4)

还可以看到黑客制作这 APT Document Exploit 时的原始路径,这个用户名是 "IBM",如果你是 APT 研究员应该对这个账号很熟悉。

这是全世界第一个把CVE-2014-4114改良成APT Email,还内嵌 EXE,且不需UNC远程共享。APT攻击者仅花了2天就完成武器的升级换代,新的CVE2014-4114 Exploit内嵌了EXE可执行程序。其中,inf文件的ole object多了一个CompObj stream,用来写入一个ole Package,微软的官方说明是:

也就是有这个compobj,会使 OLENative object(exe,inf)本身就会被当成 package,通过巧妙的安排,可以把 EXE 直接放进去 PPTX 理面,直接在本地触发并安装。

内嵌的APT恶意软件就是扬名国际的台湾特有品种: 台门 Taidoor 。

2.样本05

Xecure lab已经侦测到为数不少的 CVE-2014-4114 新变种攻击,连 Lstudio 也有。

专家提醒各器官如何防癌.ppsx(7c8a14e6b070ed77845608734e2c90a4)

CVE-2014-4114和嵌入的恶意软件(joe是哪位大神啊)

其中,嵌入的恶意软件分析结果如下(XecScan)

LStudio恶意软件也是在台湾主要活动的APT恶意软件之一,详情可以查看Xecure lab去年在HITCON 与 Blackhat 的演讲。具体链接: 黑帽大会2013

三、总结

Xecure lab整理的样本如下: