2013年11月11日 星期一

[台灣也中了] 最新的Document Exploit CVE-2013-3906 請大家注意新一波的攻擊

首先我很抱歉,很久沒寫新的文章, 就連美國的Blackhat 2013都還欠大家一篇遊記 ,很快會補上~

各位請特別注意,最近出現新的Document Exploit, CVE-2013-3906, 而且目前 Zero-day, 還沒有patch可以用!(已經過了一個禮拜還沒有patch可以用,只能請各位施主燒香自我祈福) 可怕的是這次是很少見針對Office 2007 格式 (DOCX)的惡意文件, 目前在國外已經是腥風血雨,很快的我們在亞洲應該會看到, 現在掃毒軟體的偵測率還非常的低, 請嚴防豪雨 !

我們的XecScan是目前唯一可以分析該樣本的線上服務系統,如果有發現可疑檔案,請上傳 http://scan.xecure-lab.com

[廣告] XecMail 用戶不用更新即可偵測該Zero Day :)




就在上星期 11月5號, 微軟公布了一個Office弱點 Microsoft Security Advisory (2896666) Vulnerability in Microsoft Graphics Component Could Allow Remote Code Execution,這微軟的內容總是寫得很模糊,只知道最新的 Office 2007 SP3, Office 2010 SP2都受到影響.

McAfee 發布了一篇 McAfee Labs Detects Zero-Day Exploit Targeting Microsoft Office 他們說到這個樣本是先他們提交給微軟的。

Xecure Lab也在 11月5號拿到樣本,稍微測試一下我們的APT惡意郵件偵測系統 XecMail 也可以偵測到。

FireEye在Blog上11月6號也寫一篇很精闢的分析 。

這次惡意文件有幾個亮點,我整理一下

  1. 這個Exploit樣本最早來源並不是台灣,而是是用在巴基斯坦駭客攻擊印度的APT中,因為最早被發現的樣本有很多印度女郎的照片,所以資安專家都推論是這個南亞地區攻擊用的。這也再次告訴我們現在的戰爭已經不完全是發射飛彈了,發射Email也很有搞頭。
  2. 同時間發現 Crimeware/Banking Trojan, 惡名昭彰的 Citadel 也居然這麼快出現 CVE-2013-3906,我們在下面的分析樣本中會看到。
  3. 以前我們都以為DOCX格式很安全,因為他是用XML格式不是傳統的OLE格式,而且DOCX格式是把XML放在zip裡面,即使有漏洞也很難實作出來可以用的武器,因此幾乎沒有什麼exploit可以寫出來,這以前來說是對的,但是現在得改觀了。
  4. 不過這個Shellcode 卻有Anti API-Hooking,用來偵測砂盒(Sandbox),可以讓傳統分析方法失敗。
  5. 這次出包的模組又是GDI+,已經不知道出過幾次exploit了,這次在TIFF圖型檔案處理格式變動時,針對StripByteCounts欄位上產生的整數溢位,理論上影響Office 2010之前的版本,即使你目前Full Patched還是會被攻擊。
    駭客研究了出一個新的技術 ActiveX Object Spraying 透過一些特別的安排,還是可以讓指定的Shellcode跑到,這是一種變型的heap sparying,之前也有用大量SWF object來利用。我們在最早在 CVE-2012-5054 這個SWF的exploit就有發現這樣的技巧,不過那時候還沒大流行,想不到現在真的開始廣為流傳,這Exploit新技術對於DOCX,PPTX,XLSX等格式開創了新的領域,未來應該會大流行。
    (Exploit這麼cool, 但是Shellcode卻很low,連個加密也沒作...




    我們的XecScan 原本公開版本是不接受ZIP格式分析,現在為了這個特別開放給網友用,所以現在你也可以上傳DOCX樣本了
    我們挑了一個樣本來解說 http://scan.xecure-lab.com



    這樣本所用的中繼站是 199.127.101.170 ,有趣的這居然是知名的Banking Trojan, Citadel
    雖然目前台灣還沒看到用在APT樣本中,但是我們相信很快就會看到 !

    打台灣的樣本, XecScan 搞定~



沒有留言:

張貼留言