APT攻击利用Adobe Flash 0day漏洞分析（CVE-2018-15982）

概述
Gigamon Applied Threat Research（ATR）根据Microsoft Office文档，确认了一次对Adobe Flash中0day漏洞的恶意利用。该漏洞（CVE-2018-15982）允许攻击者恶意制作的Flash对象在受害者的计算机上执行代码，从而获取对系统命令行的访问权限。该文件是从一个位于乌克兰的IP地址提交到VirusTotal的，恶意文档伪装成提交给俄罗斯国家医疗诊所的求职申请。
本文主要对恶意文档（22.docx）进行分析，并详细分析了攻击链的技术细节，同时针对发现的一系列值得关注的特性进行了描述。此外，我们还研究了此次攻击与已知恶意活动之间的关联，从而更加广泛地了解如何能识别并检测出类似攻击。
Gigamon ATR在2018年11月29日（星期四）的上午2点向Adobe产品安全事件响应小组（PSIRT）报告了这一漏洞。Adobe迅速采取了措施，并与Gigamon ATR合作复现这一漏洞，在2018年12月5日发布了针对该漏洞的安全补丁，并为该漏洞分配编号CVE-2018-15982。
 
目标分析
“22.docx”是以俄文写成的文档，伪装成俄罗斯国家医疗诊所的求职申请。在该文档中，包含7页个人相关信息，这些信息一般都会出现在个人求职申请之中。该文档的创建者为tvkisdsy。

我们对文档页头的LOGO进行分析，表明该文档是提交给俄罗斯国家医疗保健系统的“2号诊所”。2号综合诊所是一家位于俄罗斯莫斯科的成人门诊诊所。文档中包含的LOGO与该诊所的真实LOGO、公开网站上发现的LOGO均相符。
尽管诱饵文档看似具有高度针对性，但ATR早些时间已经观察到其他鱼叉式网络钓鱼攻击的诱饵文档与其实际的攻击目标无关，所以我们无法确认此次恶意活动所针对的目标。
 
攻击技术概述
该恶意活动所采用的攻击技术本质上非常简单。这些文档在头部包含一个嵌入式的Flash Active X控件（如下图所示），该控件会在文档打开时执行，并导致Office中的Flash播放器被恶意利用。在漏洞利用之后，将执行恶意命令，该命令尝试提取并执行文档附带的Payload。

 
漏洞利用
尽管业界已经努力在最新版本的Web浏览器中放弃使用Flash并删除Flash组件，但Microsoft Office仍然能够加载和执行Flash内容。因此，攻击者利用这一0day漏洞发动攻击是有价值的，这些漏洞允许攻击者执行任意命令。因此，只要存在能够可靠执行的武器化工具，这一漏洞就可以被利用。
在这种特定情况下，Flash漏洞利用工具完全被封装在文档中，并且支持32位和64位系统（具有相应的ShellCode）。包含Flash文件的容器中存在一个硬编码路径“C:run.de.swf”，该路径可能代表武器化阶段的文件路径。Flash文件和ShellCode没有使用任何形式的远程调用、分阶段、模糊处理或反分析机制。在两个ShellCode中，都使用了相同的“cmd.exe”来执行恶意命令：
C:WINDOWSsystem32cmd.exe /c set path=%ProgramFiles(x86)%WinRAR;C:Program FilesWinRAR; && cd /d %~dp0 & rar.exe e -o+ -r -inul*.rarscan042.jpg & rar.exe e -o+ -r -inulscan042.jpg backup.exe & backup.exe
上述命令首先将同一目录下的任意.rar文档解压缩，然后从scan042.jpg中解压出backup.exe文件，然后执行backup.exe文件，也就是最终的Payload。
我们的测试表明，只要从压缩包中打开恶意文档，就能够使漏洞利用代码和最终Payload运行，用户不需要事先将恶意文档（诱饵文档）进行解压缩。

 
Payload
我们没有监测到这一恶意活动对受害者的攻击行为。然而，通过复现和进一步研究，我们根据提交的细节、预期行为、时间接近程度和文件名相似程度，发现了相关联的Payload，并将其标为中等偏高置信度。我们认为，该Payload是Scout恶意软件的变种。
最初在scan042.jpg中的Payload的文件名为backup.exe，这是一个Windows可执行文件，根据其元数据表明，它伪装成“NVIDIA控制面板”，并且具有相匹配的图标和详细信息。该可执行文件受到VMProtect保护，这是一种防止逆向工程和安全分析的机制。在执行时，Payload会收集系统信息，建立持久性，并通过HTTP POST与远程服务器通信。我们观察到，其表现出以下行为：
1、枚举系统信息（利用WMI查询在本地进行枚举）
2、通过计划任务的方式增加持久性：
(1) 将填充数据添加到backup.exe中
(2) 将填充二进制文件放在%LOCALAPPDATA%NVIDIAControlPanelNVIDIAControlPanel.exe的位置
(3) 设置在用户登录时启动
3、使用HTTP POST方式，将Base64编码后的内容发送到“dotted-quad”：
(1) 硬编码命令与控制地址：188.241.58[.]68
(2) 硬编码User-Agent字符串：Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36
(3) 在网络回调之间，休眠5分钟
下图展示了恶意软件创建的任务计划，以确保重新启动后具有持久性：

下午展示了恶意软件执行的网络回调示例：

[1] [2]  下一页

概述
Gigamon Applied Threat Research（ATR）根据Microsoft Office文档，确认了一次对Adobe Flash中0day漏洞的恶意利用。该漏洞（CVE-2018-15982）允许攻击者恶意制作的Flash对象在受害者的计算机上执行代码，从而获取对系统命令行的访问权限。该文件是从一个位于乌克兰的IP地址提交到VirusTotal的，恶意文档伪装成提交给俄罗斯国家医疗诊所的求职申请。
本文主要对恶意文档（22.docx）进行分析，并详细分析了攻击链的技术细节，同时针对发现的一系列值得关注的特性进行了描述。此外，我们还研究了此次攻击与已知恶意活动之间的关联，从而更加广泛地了解如何能识别并检测出类似攻击。
Gigamon ATR在2018年11月29日（星期四）的上午2点向Adobe产品安全事件响应小组（PSIRT）报告了这一漏洞。Adobe迅速采取了措施，并与Gigamon ATR合作复现这一漏洞，在2018年12月5日发布了针对该漏洞的安全补丁，并为该漏洞分配编号CVE-2018-15982。
 
目标分析
“22.docx”是以俄文写成的文档，伪装成俄罗斯国家医疗诊所的求职申请。在该文档中，包含7页个人相关信息，这些信息一般都会出现在个人求职申请之中。该文档的创建者为tvkisdsy。 本文来自无奈人生安全网

我们对文档页头的LOGO进行分析，表明该文档是提交给俄罗斯国家医疗保健系统的“2号诊所”。2号综合诊所是一家位于俄罗斯莫斯科的成人门诊诊所。文档中包含的LOGO与该诊所的真实LOGO、公开网站上发现的LOGO均相符。
尽管诱饵文档看似具有高度针对性，但ATR早些时间已经观察到其他鱼叉式网络钓鱼攻击的诱饵文档与其实际的攻击目标无关，所以我们无法确认此次恶意活动所针对的目标。
 
攻击技术概述
该恶意活动所采用的攻击技术本质上非常简单。这些文档在头部包含一个嵌入式的Flash Active X控件（如下图所示），该控件会在文档打开时执行，并导致Office中的Flash播放器被恶意利用。在漏洞利用之后，将执行恶意命令，该命令尝试提取并执行文档附带的Payload。

内容来自无奈安全网

 
漏洞利用
尽管业界已经努力在最新版本的Web浏览器中放弃使用Flash并删除Flash组件，但Microsoft Office仍然能够加载和执行Flash内容。因此，攻击者利用这一0day漏洞发动攻击是有价值的，这些漏洞允许攻击者执行任意命令。因此，只要存在能够可靠执行的武器化工具，这一漏洞就可以被利用。
在这种特定情况下，Flash漏洞利用工具完全被封装在文档中，并且支持32位和64位系统（具有相应的ShellCode）。包含Flash文件的容器中存在一个硬编码路径“C:run.de.swf”，该路径可能代表武器化阶段的文件路径。Flash文件和ShellCode没有使用任何形式的远程调用、分阶段、模糊处理或反分析机制。在两个ShellCode中，都使用了相同的“cmd.exe”来执行恶意命令：
C:WINDOWSsystem32cmd.exe /c set path=%ProgramFiles(x86)%WinRAR;C:Program FilesWinRAR; && cd /d %~dp0 & rar.exe e -o+ -r -inul*.rarscan042.jpg & rar.exe e -o+ -r -inulscan042.jpg backup.exe & backup.exe
上述命令首先将同一目录下的任意.rar文档解压缩，然后从scan042.jpg中解压出backup.exe文件，然后执行backup.exe文件，也就是最终的Payload。
我们的测试表明，只要从压缩包中打开恶意文档，就能够使漏洞利用代码和最终Payload运行，用户不需要事先将恶意文档（诱饵文档）进行解压缩。

copyright 无奈人生

 
Payload
我们没有监测到这一恶意活动对受害者的攻击行为。然而，通过复现和进一步研究，我们根据提交的细节、预期行为、时间接近程度和文件名相似程度，发现了相关联的Payload，并将其标为中等偏高置信度。我们认为，该Payload是Scout恶意软件的变种。
最初在scan042.jpg中的Payload的文件名为backup.exe，这是一个Windows可执行文件，根据其元数据表明，它伪装成“NVIDIA控制面板”，并且具有相匹配的图标和详细信息。该可执行文件受到VMProtect保护，这是一种防止逆向工程和安全分析的机制。在执行时，Payload会收集系统信息，建立持久性，并通过HTTP POST与远程服务器通信。我们观察到，其表现出以下行为：
1、枚举系统信息（利用WMI查询在本地进行枚举）
2、通过计划任务的方式增加持久性：
(1) 将填充数据添加到backup.exe中
(2) 将填充二进制文件放在%LOCALAPPDATA%NVIDIAControlPanelNVIDIAControlPanel.exe的位置

内容来自无奈安全网

(3) 设置在用户登录时启动
3、使用HTTP POST方式，将Base64编码后的内容发送到“dotted-quad”：
(1) 硬编码命令与控制地址：188.241.58[.]68
(2) 硬编码User-Agent字符串：Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36
(3) 在网络回调之间，休眠5分钟
下图展示了恶意软件创建的任务计划，以确保重新启动后具有持久性：

下午展示了恶意软件执行的网络回调示例：
无奈人生安全网

[1] [2]  下一页 内容来自无奈安全网

。 (责任编辑：admin)