2014年10月21日 星期二

注意! ,最新 CVE-2014-4114 PPSX 漏洞已經被利用在攻擊台灣政府單位的APT中 ! Xecure lab discovers new variant of CVE-2014-4114 in Taiwan APT attacks (CVE-2014-4114 with APT Malware Embedded )

打高調廣告先 http://www.ithome.com.tw/news/91439
XecMail 不需要更新就可以偵測到此 APT

最近資安圈很不平靜,很多重大的漏洞一一被挖出來,包含之前在 HITCON Free Talk 介紹到的 Shellshock (直到現在還是很可怕)  , 還有最近 Windows Local 提權,跟今天要分享的 CVE-2014-4114。我們在 10 月 17 號開始在發現很多變種 CVE-2014-4114 已經被用在攻擊台灣政府,以及各單位的 APT Email 中,而且目前掃毒軟體廠商還在悲劇狀態, 要請大家特別注意 !

這個漏洞只會發生在 PPSX 上(也可能在PPTX),利用了 package manager 可以用 INF 安裝東西的功能來實現植入惡意程式,細節請看 MS14-060

可怕的是它利用的一個功能 ("Feature"),而不是什麼 Buffer overrun, 完全不用寫複雜的Shellcode,並可繞過目前資安防禦機制,且穩定又粗暴,可以直接執行任何程式,這是駭客最愛的,而且少數出現專打 Office 2007 之後的 Exploit 。目前 Taidoor 與 LStudio 兩群已經開始用在 APT Email 中,我們預計在半年內都會一直大流行。

惡意等級 : 非常恐怖




CVE-2014-4114 的漏洞是在 2014-10-14 被 iSIGHT 所發現, 並且寫一篇很精彩的分析,iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign  , 研究人員稱之為砂蟲事件,根據報導,這個漏洞最早是在今年9月被發現到攻擊樣本,被利用在攻擊烏克蘭政府的 APT email 上,後來也被發現用在攻擊 NATO (這是北大西洋公約組織, 並不是火影忍者) 以及美國一些單位。上禮拜,微軟也出了新的修補程式 MS14-060 ,基本上所有的Windows 有裝 Office 2007, 2013 都會被攻擊。也因為微軟已經在14號出了patch,所以駭客開始大規模利用在 Exploit Pack/Crimeware 上,發揮剩餘價值,在歐洲就發現許多用來植入 BlackEnergy 惡意程式。

最早被資安研究公布的樣本是 spiski_deputatov_done.ppsx 330E8D23AB82E8A0CA6D166755408EB1

你可以看出來駭客把惡意程式放到 94.185.85.122 的主機上,並用UNC(SMB/WebDav) 分享UNC 資料夾,副檔名是 GIF,但是本身是 EXE。這種方式現在在國外已經非常廣泛在利用,但就 APT 攻擊者而言,並不喜歡這種方式,一來因為實在太高調了,首先它會使受害電腦發出一個外網連線,並下載 EXE,只要是稍微有點資安監控能力的單位,可以很輕易在網路流量中發現網外的SMB/WebDav 連線(外部的網芳 ? ),這對企業或是政府單位來說都是惡意的;二來,這個放資料的 C2 IP 位址立馬曝光了,以上這些都APT駭客不想要的。因此大部分這種遠端下載的都是用在 Banking Trojan, Crimeware 為主,在APT攻擊中比較少見。

上禮拜二被公布後,在台灣並沒有發現 APT 有在使用,直到 10月16,17 號,星期四左右,我們開始捕抓到野生 CVE-2014-4114

內容是最近香港最敏感也是最多人關注的佔中議題

"強烈譴責警方暴力清場,請支持和平佔領中環行動並轉發佔中行動指南,讓更多人一起參與佔中專上學聯周立新"


也是放到 110.80.25.212 的 UNC 路徑下。


終於...
10月18號,我們期待已久本地安裝版本 CVE-2014-4114出現了,這個新研發的變種在各家掃毒或是資安產品目前都還不能有效偵測。

編號04樣本:


7C8A14E6B070ED77845608734E2C90A4
從地方開始,贏回台灣.ppsx

CVE-2014-4114 with APT Malware Embedded

WOW! 還可以看到駭客製作這 APT Document Exploit 時的原始路徑 ,這個 User Name 是 "IBM",如果你是 APT 研究員應該對這個帳號很熟悉 :)

又證明我的 "台灣APT寶島理論" 

這是全世界第一個改良 CVE-2014-4114 成 APT Email 而且是內嵌 EXE,不需 UNC 遠端連線 !
APT 駭客僅花了 2 天就完成武器土砲改裝,新的 cve 2014-4114 內含 exe,inf 的 oleobject 多了一個 CompObj stream, 這個內容寫ole Package,查了微軟文件 [1] [2]

"This means that the data in the OleNative stream following the 4-byte size is written by "Package".    This is the Packager object server, a legacy of OLE1 days, which is designed as a generic OLE embedding server for inserting files that don't have their own associated OLE servers."


也就是有這個 compobj,會使 OLENative object (exe,inf)本身就會被當成 package,透過這樣巧妙的安排,可以把 EXE 直接放進去 PPTX 理面,直接在本地觸發並安裝 >_<

讓你猜猜這裡面的 APT Malware 是什麼?

沒有錯 ! 這就是揚名國際的台灣特有品種 - 台門 Taidoor !!


編號05樣本:

我們這幾天已經偵測到為數不少的 CVE-2014-4114 新變種攻擊
連 Lstudio 也有

7c8a14e6b070ed77845608734e2c90a4
專家提醒各器官如何防癌.ppsx


CVE-2014-4114 with APT Malware Embedded 
(Joe 哥是哪位...科科)

惡意程式分析結果如下(XecScan)

這就是傳說中的 LStudio,我們去年在美國 Blackhat 分享過這個研究
這族惡意程式也是在台灣主要活動的APT惡意程式之一,常聽我們演講的同學都很熟悉,我就不多說了,可以看一下我們去年在 HITCON 與 Blackhat 的talk。

關於這個漏洞有趣的是,我的朋友滿大人(肥阿多)貼一個link給我們, http://pastebin.com/raw.php?i=2szJtZhG 這是有人把疑似 CVE-2014-4114 的產生器原始碼洩漏出來,但是程式碼中說到這居然是 2013 年就被寫出來的? 也就是說 1 年半年前就有人在黑暗世界偷偷地用 :D 


後來這個 pastebin link 被移除 ,好險有 cache WebCache

故事時間軸:
2013年  6月開始疑似被開發出來,並用在特定的APT ?
2014年  9月被資安公司捕獲野生樣本,送交MS
2014年10月才在微軟例行更新中揭露有此漏洞,iSIGHT 也發表paper
2014年10月中, Crimeware/Exploit Pack開始掛碼,發 Email,大氾濫
2014年10月16 號台灣出現樣本
2014年10月18 號開始出現不需要遠端下載的全新變種 APT
2014年10月19 號 Birdman 帶小孩出去玩,所以沒有分析樣本
2014年10月20 號 Birdman 分析了樣本



這兩天我們收到樣本整理如下
如果你有收到這些主題,千萬要注意,不要在自己的電腦上開,最好轉寄隔壁同事開,共勉之。
(這些樣本由於掃毒軟體無法偵測,所以還沒有人發現並上傳VirusTotal)


Birdman
Xecure Lab,Verint Systems
----------------------------------------------------------------------
我好久沒寫寫 Blog, 也不是因為被併購到新公司就不理大家,實在是最近都在忙工作事情,回家還要帶小孩... XD
未來會多一些時間多寫點打屁文章, 跟大家閒聊


1 則留言: