微信
手机版
网站地图

阿昔洛韦软膏,在Office文档的嵌入式视频中刺进歹意URL的感染流程剖析,金刚狼3

2019-03-29 13:57:52 投稿人 : admin 围观 : 172 次 0 评论
刘义周

10月底,Cymulate的安全研究人员疯人院刘素发布了运用伊曼宁office在线视频特征逻辑缝隙来传达恶意软件的POC。最近,研究人员发现一款运用该缝隙传达URSNIF信息长吉乡盗取器的在野样本。

什么是恶意软件的感染前言?

由于这类进犯中运用了故意假造的word文档,研究人员假定能够经过其他恶意软件或垃圾邮件中的附件、链接抵达用户体系。该缝隙影响Microsoft替代姐姐 Word 2013及更高版别。PoC和恶意软件运用Microsoft Word中运用的DOCX文件类阿昔洛韦软膏,在Office文档的嵌入式视频中刺进恶意URL的感染流程分析,金刚狼3型,阿昔洛韦软膏,在Office文档的嵌入式视频中刺进恶意URL的感染流程分析,金刚狼3这是一种可扩展符号言语(XML)文件,能够包括文本,目标,款式,格局和图画。它们存储为独自的文件,并打包在ZIP紧缩/存档的DOCX文件中。

PoC和户外恶意软件怎么邹瑾伶作业?

PoC和户外样本滥用了Microbongddaksoft Office在线视频嵌入功用中的逻辑过错,该功用答使用户从外部来历(如济源李某富YouTube和其他相似媒体渠道)嵌入在线视频。PoC是经过在文档中嵌入在线视频然后修正文档包中的XML文件来完结的。如Cymulate所示,它触及:

阿昔洛韦软膏,在Office文档的嵌入式视频中刺进恶意URL的感染流程分析,金刚狼3
武英热油泵
阿昔洛韦软膏,在Office文档的嵌入式视频中刺进恶意URL的感染流程分析,金刚狼3

修阿昔洛韦软膏,在Office文档的嵌入式视频中刺进恶意URL的感染流程分析,金刚狼3改文档的文件扩展名(DOCX到ZIP)。

提取文档存档中的文件。

在XML文件中定位符号(embeddedHtml),能够附加恶意脚本或URL。请注意,阿昔洛韦软膏,在Office文档的嵌入式视频中刺进恶意URL的感染流程分析,金刚狼3一旦修正了embeddedHtml参数下的URL ,它就会在单击文档内部视频帧的任何方位后主动将用户重定向到指定URL。

国王宝盒

经过修正embeddedHtml中的脚原本初始化和布置payload。细心研究一下孙兴老婆户外样本,能够看出它仅仅修正了在src参数下编写的URL ,将刘善浩其替换为一个包括在成徐凤娇功重定向时加载和运转的脚本的Pastebin URL。反过来,该脚本拜访另一个恶意URL以下载并履行URSNIF恶意软件的版别。

PoC与在野恶意软件有何不同

PoC运用的是msSaveorOpenBlob.aspx)方法来解码嵌入到video tag中曹海进的base64编码的二进制文件,msSaveorOpenBlob能够为文件或blob目标加载使用。点击视频框也能够触发。本庄優花解码后,会弹出IE下载管理器问询是否运转或许手动保存可履行文件,如图3。实在的恶意软件样本愈加简略有用。点击video框后能够直接拜访恶意URL。然后加载能够主动下载final payload的恶意脚本。如图4所示,然后弹出下载管理器保存或运转payload的用户弹综琼瑶之甜心的悲喜人生窗,伪装为Flash Player更新。

图3:IE下载管理器问询用户运转或保存可履行文件

总结

现在还没有为该缝隙分配广州今天天气CVE编号。用户能够阻拦XML文件中含有embeddedHtml tag的文档或封闭嵌入视频的文档。由于URL是可修正的,所以恶意软件或许会给用户和企业传达不同的恶意软件。

IoC哈希值(SHA-256):

03634e2eab2f61ab1d7359c4038c7042f7eb294d9d5c855560468b8824702c47 — TROJ_EXPLOIT.AOOCAI

d01b6f839b233ce9d6834a58d9d832ad824b73dd3dd1f399639fe5326faf783b — TSPY_URSNIF.OIBEAO

相关恶意URL:

hxxp://wetnose太湖字迷sandwhiskers[.]com/driverfix30e45vers[.]exe

*参阅来历:trendmicro,由周大涛编译,转载请注明来自FreeBuf.COM

阿昔洛韦软膏,在Office文档的嵌入式视频中刺进恶意URL的感染流程分析,金刚狼3 媒体 视频 58
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。
刘勋德

相关文章

标签列表