30期報告匯總
安天發(fā)布《以印度駐阿富汗大使為目標(biāo)的新型惡意軟件“ROVER”分析報告》
以下內(nèi)容為本次攻擊過程的具體描述:近日印度駐阿富汗大使收到一封發(fā)件人署名為“印度目前的國防部長”的郵件,郵件中贊揚了該大使為國家所做的貢獻和取得的成功,郵件中含有一份附件名為“Appreciation_letter.doc”。
實際上,該郵件附件是利用了漏洞CVE-2010-3333的一個富文本文件,一旦受害者在有漏洞的word版本打開該文檔,就會觸發(fā)漏洞。該漏洞是office的RTF解析漏洞,主要是在解析pfragment屬性出現(xiàn)的棧溢出問題,漏洞函數(shù)存在于mso.dll模塊中,漏洞函數(shù)在數(shù)據(jù)復(fù)制時其復(fù)制次數(shù)可以在pfragment屬性中設(shè)置。因為沒有對復(fù)制次數(shù)進行檢測,導(dǎo)致棧溢出,棧溢出后可以覆蓋SEH鏈,最后觸發(fā)異常劫持EIP并跳轉(zhuǎn)到shellcode處執(zhí)行,從而完成漏洞利用。
被利用該漏洞后,受害機器將從newsumbrella.net下載文件“file.exe”,該程序是一個下載器,它從newsumbrella.net下載主Rover惡意軟件和相關(guān)插件,隨后這些文件會在受害機器上運行,盜取受害者硬盤中指定類型的文件及受害者鍵盤記錄、屏幕截圖等數(shù)據(jù),并上傳至C2服務(wù)器,完成攻擊目的。
據(jù)了解,惡意軟件Rover主要利用的技術(shù)為“OpenCV”和“OpenAL”,相對于當(dāng)下一些先進的惡意軟件,Rover其實缺少很多常用功能,但它卻能完美躲過各路安全廠商的查殺。隨著“互聯(lián)網(wǎng)+”時代的到來,安天追影小組預(yù)測越來越多以組織、國家為目標(biāo)的“Rover”類似軟件將會出現(xiàn),了解其攻擊行為和技術(shù),是維護組織信息安全的關(guān)鍵所在。