攻擊者利用已知漏洞開發新的攻擊鏈 受測試的防病毒軟件中僅有2個發現可疑活動
責編:gltian |2018-10-17 14:10:30在新的惡意軟件活動中,網絡犯罪分子修改了一個已知的漏洞利用鏈,讓Agent Tesla在竊取信息時不會觸發常見防病毒產品的檢測。?網絡犯罪分子設置了一個基礎架構,通過針對Microsoft Word漏洞CVE-2017-0199??和CVE-2017-11882的兩個公共漏洞來使用多個惡意軟件。
惡意軟件活動以郵件形式傳播
根據Cisco Talos的分析師的說法,該惡意軟件活動旨在至少利用三個有效載荷:Tesla,Loki和Gamarue。?所有這些都能夠竊取信息,而且只有Loki缺乏遠程訪問功能。
攻擊以包含Word文檔(DOCX)的電子郵件開始,該文檔包括用于下載和打開RTF文件的例程,該文件提供最終的有效負載。RTF沒有被注意到有惡意軟件。
58個防病毒程序中只有兩個檢測到可以活動。標記此樣本的程序僅警告格式錯誤的RTF文件.
AhnLab-V3將其標記為’RTF / Malform-A.Gen’,而Zoner表示可能標志為’RTFBadVersion’,“
防病毒軟件無法檢測到攻擊的兩個原因
研究人員表示,對漏洞利用鏈進行的修改使包含下載惡意軟件程序的文檔無法被常規防病毒解決方案檢測到。
有效載荷丟棄鉆取的秘密依賴于RTF文件格式的特殊性,它支持通過OLE(對象鏈接和嵌入)嵌入對象,并使用大量控制字來定義它所擁有的內容。
除此之外,常見的RTF解析器通常會忽略它們不知道的內容,結果是隱藏漏洞利用代碼的完美組合。?在這種情況下,用戶在沒有更改Microsoft Word的設置或單擊任何內容時就會觸發漏洞利用。
RTF與OLE對象的控制字
RTF文件結構中的混淆并不是唯一有助于文檔未被檢測到的原因。?更深入的分析顯示攻擊者更改了OLE Object頭的值。
在標題之后,他們添加了關于看起來像字體標記的數據,但結果證明它是Microsoft Office中CVE-2017-11882內存損壞漏洞的漏洞。
修改了標題信息
研究人員表示,無論手動修改還是使用工具進行修改,該技術都是危險的。?這些更改處于較低級別,并使一切看起來不同,但它使用的漏洞代碼已在?其他廣告系列中?看到過?。
惡意軟件功能
Talos將特斯拉特工稱為“復雜的信息竊取木馬”,作為合法的鍵盤記錄實用程序銷售。?然而,研究人員質疑該工具的合法功能,稱它具有25種常見應用程序的密碼竊取功能,如流行的Web瀏覽器,電子郵件和FTP客戶端。
Loki惡意軟件嚴格屬于信息竊取類別,希望獲取密碼。?它經常被廣告宣傳,它的描述補充說它也可以針對加密貨幣錢包。
至于Gamarue系列威脅,它在為僵尸網絡牧民提供新機器人方面有著良好的記錄。?它是一種蠕蟲,因此可以快速傳播到易受攻擊的系統,讓操作員可以訪問它們。?雖然它不是專業,但Gamarue可用于竊取敏感信息。
原文鏈接:https://www.bleepingcomputer.com/news/security/new-technique-recycles-exploit-chain-to-keep-antivirus-silent/