XecMail 不需要更新就可以偵測到此 APT
最近資安圈很不平靜,很多重大的漏洞一一被挖出來,包含之前在 HITCON Free Talk 介紹到的 Shellshock (直到現在還是很可怕) , 還有最近 Windows Local 提權,跟今天要分享的 CVE-2014-4114。我們在 10 月 17 號開始在發現很多變種 CVE-2014-4114 已經被用在攻擊台灣政府,以及各單位的 APT Email 中,而且目前掃毒軟體廠商還在悲劇狀態, 要請大家特別注意 !
這個漏洞只會發生在 PPSX 上(也可能在PPTX),利用了 package manager 可以用 INF 安裝東西的功能來實現植入惡意程式,細節請看 MS14-060。
可怕的是它利用的一個功能 ("Feature"),而不是什麼 Buffer overrun, 完全不用寫複雜的Shellcode,並可繞過目前資安防禦機制,且穩定又粗暴,可以直接執行任何程式,這是駭客最愛的,而且少數出現專打 Office 2007 之後的 Exploit 。目前 Taidoor 與 LStudio 兩群已經開始用在 APT Email 中,我們預計在半年內都會一直大流行。
惡意等級 : 非常恐怖
CVE-2014-4114 的漏洞是在 2014-10-14 被 iSIGHT 所發現, 並且寫一篇很精彩的分析,iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign , 研究人員稱之為砂蟲事件,根據報導,這個漏洞最早是在今年9月被發現到攻擊樣本,被利用在攻擊烏克蘭政府的 APT email 上,後來也被發現用在攻擊 NATO (這是北大西洋公約組織, 並不是火影忍者) 以及美國一些單位。上禮拜,微軟也出了新的修補程式 MS14-060 ,基本上所有的Windows 有裝 Office 2007, 2013 都會被攻擊。也因為微軟已經在14號出了patch,所以駭客開始大規模利用在 Exploit Pack/Crimeware 上,發揮剩餘價值,在歐洲就發現許多用來植入 BlackEnergy 惡意程式。
最早被資安研究公布的樣本是 spiski_deputatov_done.ppsx 330E8D23AB82E8A0CA6D166755408EB1
你可以看出來駭客把惡意程式放到 94.185.85.122 的主機上,並用UNC(SMB/WebDav) 分享UNC 資料夾,副檔名是 GIF,但是本身是 EXE。這種方式現在在國外已經非常廣泛在利用,但就 APT 攻擊者而言,並不喜歡這種方式,一來因為實在太高調了,首先它會使受害電腦發出一個外網連線,並下載 EXE,只要是稍微有點資安監控能力的單位,可以很輕易在網路流量中發現網外的SMB/WebDav 連線(外部的網芳 ? ),這對企業或是政府單位來說都是惡意的;二來,這個放資料的 C2 IP 位址立馬曝光了,以上這些都APT駭客不想要的。因此大部分這種遠端下載的都是用在 Banking Trojan, Crimeware 為主,在APT攻擊中比較少見。
上禮拜二被公布後,在台灣並沒有發現 APT 有在使用,直到 10月16,17 號,星期四左右,我們開始捕抓到野生 CVE-2014-4114
內容是最近香港最敏感也是最多人關注的佔中議題
"強烈譴責警方暴力清場,請支持和平佔領中環行動並轉發佔中行動指南,讓更多人一起參與佔中專上學聯周立新"
也是放到 110.80.25.212 的 UNC 路徑下。
終於...
10月18號,我們期待已久本地安裝版本 CVE-2014-4114出現了,這個新研發的變種在各家掃毒或是資安產品目前都還不能有效偵測。
編號04樣本:
7C8A14E6B070ED77845608734E2C90A4
從地方開始,贏回台灣.ppsx
CVE-2014-4114 with APT Malware Embedded
WOW! 還可以看到駭客製作這 APT Document Exploit 時的原始路徑 ,這個 User Name 是 "IBM",如果你是 APT 研究員應該對這個帳號很熟悉 :)
又證明我的 "台灣APT寶島理論"
這是全世界第一個改良 CVE-2014-4114 成 APT Email 而且是內嵌 EXE,不需 UNC 遠端連線 !APT 駭客僅花了 2 天就完成武器土砲改裝,新的 cve 2014-4114 內含 exe,inf 的 oleobject 多了一個 CompObj stream, 這個內容寫ole Package,查了微軟文件 [1] [2]
"This means that the data in the OleNative stream following the 4-byte size is written by "Package". This is the Packager object server, a legacy of OLE1 days, which is designed as a generic OLE embedding server for inserting files that don't have their own associated OLE servers."
讓你猜猜這裡面的 APT Malware 是什麼?
沒有錯 ! 這就是揚名國際的台灣特有品種 - 台門 Taidoor !!
編號05樣本:
我們這幾天已經偵測到為數不少的 CVE-2014-4114 新變種攻擊連 Lstudio 也有
專家提醒各器官如何防癌.ppsx
CVE-2014-4114 with APT Malware Embedded
(Joe 哥是哪位...科科)
惡意程式分析結果如下(XecScan)
這就是傳說中的 LStudio,我們去年在美國 Blackhat 分享過這個研究
這族惡意程式也是在台灣主要活動的APT惡意程式之一,常聽我們演講的同學都很熟悉,我就不多說了,可以看一下我們去年在 HITCON 與 Blackhat 的talk。
關於這個漏洞有趣的是,我的朋友滿大人(肥阿多)貼一個link給我們, http://pastebin.com/raw.php?i=2szJtZhG 這是有人把疑似 CVE-2014-4114 的產生器原始碼洩漏出來,但是程式碼中說到這居然是 2013 年就被寫出來的? 也就是說 1 年半年前就有人在黑暗世界偷偷地用 :D
後來這個 pastebin link 被移除 ,好險有 cache WebCache
故事時間軸:
2013年 6月開始疑似被開發出來,並用在特定的APT ?
2014年 9月被資安公司捕獲野生樣本,送交MS
2014年10月才在微軟例行更新中揭露有此漏洞,iSIGHT 也發表paper
2014年10月中, Crimeware/Exploit Pack開始掛碼,發 Email,大氾濫
2014年10月16 號台灣出現樣本
2014年10月18 號開始出現不需要遠端下載的全新變種 APT
2014年10月19 號 Birdman 帶小孩出去玩,所以沒有分析樣本
2014年10月20 號 Birdman 分析了樣本
這兩天我們收到樣本整理如下
如果你有收到這些主題,千萬要注意,不要在自己的電腦上開,最好轉寄隔壁同事開,共勉之。
(這些樣本由於掃毒軟體無法偵測,所以還沒有人發現並上傳VirusTotal)
Birdman
Xecure Lab,Verint Systems
----------------------------------------------------------------------我好久沒寫寫 Blog, 也不是因為被併購到新公司就不理大家,實在是最近都在忙工作事情,回家還要帶小孩... XD
未來會多一些時間多寫點打屁文章, 跟大家閒聊
台灣APT寶島理論+1
回覆刪除