内容简介:10月底,Cymulate的安全研究人员公布了利用office在线视频特征逻辑漏洞来传播恶意软件的POC。最近,研究人员发现一款利用该漏洞传播URSNIF信息窃取器的在野样本。因为这类攻击中使用了刻意伪造的word文档,研究人员假设可以通过其他恶意软件或垃圾邮件中的附件、链接到达用户系统。该漏洞影响Microsoft Word 2013及之后版本。PoC和恶意软件使用了DOCX文件类型,其中可以包含文本、对象、格式、图像等。这些都分别保存在不同的文件中,然后打包为一个ZIP压缩的DOCX文件。
10月底,Cymulate的安全研究人员公布了利用office在线视频特征逻辑漏洞来传播恶意软件的POC。最近,研究人员发现一款利用该漏洞传播URSNIF信息窃取器的在野样本。
恶意软件感染链
因为这类攻击中使用了刻意伪造的word文档,研究人员假设可以通过其他恶意软件或垃圾邮件中的附件、链接到达用户系统。
该漏洞影响Microsoft Word 2013及之后版本。PoC和恶意软件使用了DOCX文件类型,其中可以包含文本、对象、格式、图像等。这些都分别保存在不同的文件中,然后打包为一个ZIP压缩的DOCX文件。
图1: PoC(左)和在野样本(右)感染链
PoC和在野恶意软件工作原理
PoC和在野样本都滥用了office在线视频嵌入特征的逻辑漏洞,在线视频嵌入特征允许用户从外部源(比如Youtube)嵌入在线视频到Word文档中。
PoC是在文档中嵌入在线视频,然后修改文档包中的XML文件。过程如下:
·修改文档的文件扩展(从DOCX修改为ZIP);
· 提取文件;
· 定位XML文件的tag (embeddedHtml),这是恶意脚本或URL添加的地方。如果URL的embeddedHtml参数被修改,用户点击文档中的视频框时,就会自动将用户重定向到特定的URL;
· 通过修改embeddedHtml中的脚本来初始化和应用payload。
分析在野样本发现,只修改了URL的src参数,是用一个含有可以加载和运行重定向的脚本的Pastebin URL替换的。脚本会访问了一个恶意URL来下载和执行URSNIF恶意软件。
图2: 修改了embeddedHtml参数的代码段
PoC与在野恶意软件的比较
PoC使用的是msSaveorOpenBlob方法来解码嵌入到video tag中的base64编码的二进制文件,msSaveorOpenBlob可以为文件或blob对象加载应用。点击视频框也可以触发。解码后,会弹出IE下载管理器询问是否运行或者手动保存可执行文件,如图3。
真实的恶意软件样本更加简单有效。点击video框后可以直接访问恶意URL。然后加载可以自动下载final payload的恶意脚本。如图4所示,然后弹出下载管理器保存或运行payload的用户弹窗,伪装为Flash Player更新。
图3: IE下载管理器询问用户运行或保存可执行文件
图4: 在野样本工作原理
总结
目前还没有为该漏洞分配CVE编号。用户可以拦截XML文件中含有embeddedHtml tag的文档或关闭嵌入视频的文档。因为URL是可修改的,所以恶意软件可能会给用户和企业传播不同的恶意软件。
IoC
哈希值(SHA-256):
• 03634e2eab2f61ab1d7359c4038c7042f7eb294d9d5c855560468b8824702c47 — TROJ_EXPLOIT.AOOCAI
• d01b6f839b233ce9d6834a58d9d832ad824b73dd3dd1f399639fe5326faf783b — TSPY_URSNIF.OIBEAO
相关恶意URL:
hxxp://wetnosesandwhiskers[.]com/driverfix30e45vers[.]exe
YARA规则
rule EMBEDDEDHTML_WITH_SCRIPT { meta: description = “possible abuse of Office video embededHtml” reference = “https://blog.cymulate.com/abusing-microsoft-office-online-video” strings: $embeddedHtmlre1 = /\sembeddedHtml=”[^”]+/ $embeddedHtmlre2 = /\sembeddedHtml='[^’]+/ $script = “<script” nocase condition: ( for any i in (1..#embeddedHtmlre1): ( for any j in (1..#script): ( @embeddedHtmlre1[i] < @script[j] and @script[j] < @embeddedHtmlre1[i] + !embeddedHtmlre1[i] ) ) ) or ( for any i in (1..#embeddedHtmlre2): ( for any j in (1..#script): ( @embeddedHtmlre2[i] < @script[j] and @script[j] < @embeddedHtmlre2[i] + !embeddedHtmlre2[i] ) ) ) }
以上所述就是小编给大家介绍的《插入恶意URL到office嵌入视频中》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 在Office文档的嵌入式视频中插入恶意URL的感染流程分析
- HashMap为何从头插入改为尾插入
- C++拾趣——STL容器的插入、删除、遍历和查找操作性能对比(Windows VirtualStudio)——插入
- 用go来做嵌入式开发-嵌入资源简化程序部署
- HashMap之元素插入
- 插入排序
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
数据驱动:从方法到实践
桑文锋 / 电子工业出版社 / 2018-3 / 49
本书是从理论到实践的全面且细致的企业数据驱动指南,从作者的百度大数据工作说起,完整还原其从零到一构建百度用户行为大数据处理平台经历。详解大数据本质、理念与现状,围绕数据驱动四环节——采集、建模、分析、指标,深入浅出地讲述企业如何将数据驱动方案落地,并指出数据驱动的价值在于“数据驱动决策”、“数据驱动产品智能”。最后通过互联网金融、电子商务、企业服务、零售四大行业实践,从需求梳理、事件指标设计、数据......一起来看看 《数据驱动:从方法到实践》 这本书的介绍吧!
MD5 加密
MD5 加密工具
html转js在线工具
html转js在线工具