压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

商務人士請警惕,Asruex后門病毒感染兩款“熱門辦公利器”

責編:gltian |2019-09-11 10:10:36

近日,亞信安全截獲嵌入Asruex后門病毒的PDF文檔,該病毒利用CVE-2012-0158和CVE-2010-2883漏洞,在Word和PDF文件中注入惡意代碼。其主要影響在Windows和Mac OS X系統中使用的舊版本的Adobe Reader(版本9.x到9.4)and Acrobat(版本8.x到8.2.5)。亞信安全將其命名為Virus.Win32.ASRUEX.A.orig。

Asruex后門病毒詳細分析

Asruex通過帶有PowerShell下載腳本的快捷方式文件感染系統,并通過可移動驅動器和網絡驅動器進行傳播。下圖是該惡意軟件的感染鏈:

image002

【Asruex的感染鏈】

被感染的PDF文件

安全專家截獲的PDF文件是一個被Asruex變種感染的文件,如果使用舊版本的Adobe Reader和Adobe Acrobat打開文件,其仍然會顯示或者打開原始PDF文件,讓用戶相信其僅僅打開了正常的PDF文件,實際上,受感染的PDF文件將在后臺生成并執行感染文件。

此行為是由于特殊模板在附加主機文件時利用了CVE-2010-2883漏洞。該漏洞可以在Adobe的CoolType.dll的strcat函數中找到,它是一個排版引擎。由于此函數不需要檢查要注冊的字體的長度,因此可能導致堆棧緩沖區溢出以執行其shellcode。最終其使用XOR解密原始PDF主機文件。此過程如下圖所示:

image003

【病毒利用的漏洞】

image004

【解密原始PDF文件】

然后,其會生成并執行嵌入的可執行文件(亞信安全將其命名為Virus.Win32.ASRUEX.A.orig)。

image005

【惡意軟件生成的嵌入式可執行文件】

此可執行文件負責反調試和反仿真功能。它檢測根目錄中是否存在avast!Sandbox \ WINDOWS \ system32 \ kernel32.dll文件,然后,其會進一步檢查以下信息來確定其自身是否在沙箱環境中運行:

  • 計算機名和用戶名
  • 加載模塊的導出函數
  • 文件名
  • 運行流程
  • 運行進程的模塊版本
  • 磁盤名稱中的某些字符串

可執行文件還將DLL文件(亞信安全檢測為Virus.Win32.ASRUEX.A.orig)注入合法的Windows進程。該DLL文件負責惡意軟件的感染和后門功能。它感染文件大小在42,224字節和20,971,520字節之間的文件。

image006

【注入進程的截圖】

image007

【感染PDF樣本的模板】

被感染的Word文檔
該病毒使用特殊模板來利用CVE-2012-0158漏洞感染Word文檔。該模板在下圖中突出顯示。

image008

【用于感染Word文檔的模板】

CVE-2012-0158漏洞允許可能的攻擊者通過Word文檔或網站遠程執行任意代碼。與被感染的PDF類似,運行后,其仍然會顯示原始Word文件,讓用戶相信其僅僅打開了正常的Word文件,實際上,被感染的Word文件將在后臺生成并執行感染文件。然后其使用XOR來解密原始DOC文件,生成并執行rundll32.exe文件。

image010image009

【使用XOR解密原始DOC文件】

image011

【使用不同的文件名生成和執行感染文件】

被感染的可執行文件

除了感染Word文檔和PDF文件外,惡意軟件還會感染可執行文件。該Asruex變種壓縮并加密原始可執行文件或主機文件,并將其作為.EBSS節附加在惡意文件中。惡意軟件同樣會生成感染文件,同時也會正常地執行主機文件。對于被感染的可執行文件,其生成的感染文件名是隨機分配的。

image012

【主機文件附加到惡意軟件的.EBSS節】

image013

【生成的感染文件使用任意文件名】

亞信安全教你如何防范

  • 打全系統及應用程序補丁;
  • 不要點擊來源不明的郵件以及附件;
  • 不要點擊來源不明的郵件中包含的鏈接;
  • 采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;
  • 盡量關閉不必要的文件共享。

亞信安全產品解決方案

  • 亞信安全病毒碼版本351.60,云病毒碼版本15.351.71,全球碼版本15.353.00已經可以檢測,請用戶及時升級病毒碼版本。
  • 亞信安全DS產品的DPI規則已經可以檢測該漏洞,規則如下:

1004978- MSCOMCTL.OCX RCE Vulnerability For Office Binary File(CVE-2012-0158)

1004973- MSCOMCTL.OCX RCE Vulnerability For Rich Text File (CVE-2012-0158)

1006071- Heuristic Detection Of Malicious PDF Documents-1(CVE-2007-5669,CVE-2010-2883)

1004393- Adobe Reader SING Table Parsing Vulnerability (CVE-2010-2883)

IOCs

SHA256 b261f49fb6574af0bef16765c3db2900a5d3ca24639e9717bc21eb28e1e6be77

##

image014

關于亞信安全

亞信安全是中國網絡安全行業領跑者,以安全數字世界為愿景,旨在護航產業互聯網。亞信安全是云安全、身份安全、終端安全、態勢感知、高級威脅治理、威脅情報技術領導者,同時是5G、云計算、物聯網、大數據、工控、移動六大安全場景引領者。在國內擁有2個獨立研發中心,2,000人安全專業團隊。欲了解更多,請訪問: http://www.asiainfo-sec.com

更多媒體垂詢,敬請聯絡:

亞信安全 謀信傳媒
劉婷婷 雷遠方
電話:010- 58256889

電子郵件: liutt5@aisainfo-sec.com

 電話:010-67588241

電子郵件:leiyuanfang@ctocio.com

上一篇:安卓“零日”已達 250 萬美元 為什么安卓比 iOS 攻擊成本更高?

下一篇:Fortinet擴展支持VMware NSX-T,進一步提升軟件定義數據中心和云的安全性