以前就一直覺得長輩們常常透過 Email 傳各種不同的 PPS 檔案,是非常危險的一件事情,在去年發生了 office 的 0day 事件以後就覺得可能會發生一些攻擊事件,果不其然,真的發生了。

最近資安圈很不平靜,很多重大的漏洞一一被挖出來,包含之前在 HITCON Free Talk 介紹到的 Shellshock (http://tinyurl.com/oubu74g) (直到現在還是很可怕) , 還有最近 Windows Local 提權,跟今天要分享的 CVE-2014-4114。我們在 10 月 17 號開始在發現很多變種 CVE-2014-4114 已經被用在攻擊台灣政府,以及各單位的 APT Email 中,而且目前掃毒軟體廠商還在悲劇狀態, 要請大家特別注意 !

這個漏洞只會發生在 PPSX 上(也可能在PPTX),利用了 package manager 可以用 INF 安裝東西的功能來實現植入惡意程式,細節請看 MS14-060(http://tinyurl.com/k4e9pe4)。

可怕的是它利用的一個功能 ("Feature"),而不是什麼 Buffer overrun, 完全不用寫複雜的Shellcode,並可繞過目前資安防禦機制,且穩定又粗暴,可以直接執行任何程式,這是駭客最愛的,而且少數出現專打 Office 2007 之後的 Exploit 。目前 Taidoor 與 LStudio 兩群已經開始用在 APT Email 中,我們預計在半年內都會一直大流行。

**惡意等級 : 非常恐怖**



CVE-2014-4114 的漏洞是在 2014-10-14 被 iSIGHT 所發現, 並且寫一篇很精彩的分析,iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign (http://tinyurl.com/mzsjsjk) , 研究人員稱之為砂蟲事件,根據報導,這個漏洞最早是在今年9月被發現到攻擊樣本,被利用在攻擊烏克蘭政府的 APT email 上,後來也被發現用在攻擊 NATO (這是北大西洋公約組織, 並不是火影忍者) 以及美國一些單位。上禮拜,微軟也出了新的修補程式 MS14-060 ,基本上所有的Windows 有裝 Office 2007, 2013 都會被攻擊。也因為微軟已經在14號出了patch,所以駭客開始大規模利用在 Exploit Pack/Crimeware 上,發揮剩餘價值,在歐洲就發現許多用來植入 BlackEnergy 惡意程式。

最早被資安研究公布的樣本是 spiski_deputatov_done.ppsx 330E8D23AB82E8A0CA6D166755408EB1

Post images

你可以看出來駭客把惡意程式放到 94.185.85.122 的主機上,並用UNC(SMB/WebDav) 分享UNC 資料夾,副檔名是 GIF,但是本身是 EXE。這種方式現在在國外已經非常廣泛在利用,但就 APT 攻擊者而言,並不喜歡這種方式,一來因為實在太高調了,首先它會使受害電腦發出一個外網連線,並下載 EXE,只要是稍微有點資安監控能力的單位,可以很輕易在網路流量中發現網外的SMB/WebDav 連線(外部的網芳 ? ),這對企業或是政府單位來說都是惡意的;二來,這個放資料的 C2 IP 位址立馬曝光了,以上這些都APT駭客不想要的。因此大部分這種遠端下載的都是用在 Banking Trojan, Crimeware 為主,在APT攻擊中比較少見。

上禮拜二被公布後,在台灣並沒有發現 APT 有在使用,直到 10月16,17 號,星期四左右,我們開始捕抓到野生 CVE-2014-4114

Post images

內容是最近香港最敏感也是最多人關注的佔中議題
"強烈譴責警方暴力清場,請支持和平佔領中環行動並轉發佔中行動指南,讓更多人一起參與佔中專上學聯周立新"

Post images

也是放到 110.80.25.212 的 UNC 路徑下。


終於...
10月18號,我們期待已久本地安裝版本 CVE-2014-4114出現了,這個新研發的變種在各家掃毒或是資安產品目前都還不能有效偵測。

編號04樣本:

Post images

7C8A14E6B070ED77845608734E2C90A4
從地方開始,贏回台灣.ppsx

Post images

CVE-2014-4114 with APT Malware Embedded

WOW! 還可以看到駭客製作這 APT Document Exploit 時的原始路徑 ,這個 User Name 是 "IBM",如果你是 APT 研究員應該對這個帳號很熟悉 :)

又證明我的 "台灣APT寶島理論"
這是全世界第一個改良 CVE-2014-4114 成 APT Email 而且是內嵌 EXE,不需 UNC 遠端連線 !
APT 駭客僅花了 2 天就完成武器土砲改裝,新的 cve 2014-4114 內含 exe,inf 的 oleobject 多了一個 CompObj stream, 這個內容寫ole Package,查了微軟文件 [1] [2]
"This means that the data in the OleNative stream following the 4-byte size is written by "Package". This is the Packager object server, a legacy of OLE1 days, which is designed as a generic OLE embedding server for inserting files that don't have their own associated OLE servers."

也就是有這個 compobj,會使 OLENative object (exe,inf)本身就會被當成 package,透過這樣巧妙的安排,可以把 EXE 直接放進去 PPTX 理面,直接在本地觸發並安裝 >_<

讓你猜猜這裡面的 APT Malware 是什麼?

Post images

沒有錯 ! 這就是揚名國際的台灣特有品種 - 台門 Taidoor !!

編號05樣本:

Post images

我們這幾天已經偵測到為數不少的 CVE-2014-4114 新變種攻擊
連 Lstudio 也有

7c8a14e6b070ed77845608734e2c90a4
專家提醒各器官如何防癌.ppsx

Post images

CVE-2014-4114 with APT Malware Embedded
(Joe 哥是哪位...科科)

惡意程式分析結果如下(XecScan)

Post images

這就是傳說中的 LStudio,我們去年在美國 Blackhat 分享過這個研究
這族惡意程式也是在台灣主要活動的APT惡意程式之一,常聽我們演講的同學都很熟悉,我就不多說了,可以看一下我們去年在 HITCON 與 Blackhat 的talk。

關於這個漏洞有趣的是,我的朋友滿大人(肥阿多)貼一個link給我們, http://pastebin.com/raw.php?i=2szJtZhG 這是有人把疑似 CVE-2014-4114 的產生器原始碼洩漏出來,但是程式碼中說到這居然是 2013 年就被寫出來的? 也就是說 1 年半年前就有人在黑暗世界偷偷地用 :D


後來這個 pastebin link 被移除 ,好險有 cache ( http://tinyurl.com/ldr4fax)

這兩天我們收到樣本整理如下
如果你有收到這些主題,千萬要注意,不要在自己的電腦上開,最好轉寄隔壁同事開,共勉之。
Post images


by 迪蘭帝

共 11 則回應

求翻譯
簡單講,收到跟最後面表格裡面相同標題的 email 就是病毒,請告訴長輩和同學
推原PO認真 但是有看沒有懂 還好有翻譯....
推原Po , 不得不說機關內長輩級公務員 ,
最喜歡去轉寄.pps給其他人作分享之用了。
很感恩 原Po提出這般可供預防的訊息!
想詢問 , 如何知道自己是否有遭植入惡意程式呢 ! ?
一般的防毒軟體能不能檢測出惡意程式的存在。
目前市面上的防毒軟體還沒辦法檢測出這個惡意程式,因為這個惡意程式使用的是 Office 內建的「功能」,所以在感染後除非是專業的資訊安全人員或是從事網路相關工作的工程師,不然很難發現問題,所以勢必得重預防開始,感染後真的求救無門
瞭解 , 那應盡量避免去使用簡報檔Power Point 嘛 ?
畢竟學校在報告上免不了要去使用該軟體。> < !
不是這樣的,是避免開啟來路不明的簡報檔,尤其是自動播放的簡報檔 ( *.pps ) 這類的檔案
因為自動播放的特性,攻擊者能夠在 inf 裡面動手腳讓惡意程式自動地進行佈署
嗯嗯 那我懂了 , 會把這樣的消息轉知身旁的親友 ! 很謝謝你。
我認識你。
B10 嗨~請問你是?XD
馬上回應搶第 12 樓...