【Asruex的感染鏈】
被感染的PDF文件
安全專家截獲的PDF文件是一個被Asruex變種感染的文件����,如果使用舊版本的Adobe Reader和Adobe Acrobat打開文件��,其仍然會顯示或者打開原始PDF文件��,讓用戶相信其僅僅打開了正常的PDF文件����,實際上��,受感染的PDF文件將在后臺生成并執(zhí)行感染文件���。
此行為是由于特殊模板在附加主機(jī)文件時利用了CVE-2010-2883漏洞���。該漏洞可以在Adobe的CoolType.dll的strcat函數(shù)中找到,它是一個排版引擎���。由于此函數(shù)不需要檢查要注冊的字體的長度�����,因此可能導(dǎo)致堆棧緩沖區(qū)溢出以執(zhí)行其shellcode���。最終其使用XOR解密原始PDF主機(jī)文件�����。此過程如下圖所示:
【病毒利用的漏洞】
【解密原始PDF文件】
然后�,其會生成并執(zhí)行嵌入的可執(zhí)行文件(亞信安全將其命名為Virus.Win32.ASRUEX.A.orig)��。
【惡意軟件生成的嵌入式可執(zhí)行文件】
此可執(zhí)行文件負(fù)責(zé)反調(diào)試和反仿真功能��。它檢測根目錄中是否存在avast!Sandbox \ WINDOWS \ system32 \ kernel32.dll文件���,然后,其會進(jìn)一步檢查以下信息來確定其自身是否在沙箱環(huán)境中運(yùn)行:
· 計算機(jī)名和用戶名
· 加載模塊的導(dǎo)出函數(shù)
· 文件名
· 運(yùn)行流程
· 運(yùn)行進(jìn)程的模塊版本
· 磁盤名稱中的某些字符串
可執(zhí)行文件還將DLL文件(亞信安全檢測為Virus.Win32.ASRUEX.A.orig)注入合法的Windows進(jìn)程��。該DLL文件負(fù)責(zé)惡意軟件的感染和后門功能�。它感染文件大小在42,224字節(jié)和20,971,520字節(jié)之間的文件。
【注入進(jìn)程的截圖】
【感染PDF樣本的模板】
被感染的Word文檔該病毒使用特殊模板來利用CVE-2012-0158漏洞感染W(wǎng)ord文檔��。該模板在下圖中突出顯示�。
【用于感染W(wǎng)ord文檔的模板】
CVE-2012-0158漏洞允許可能的攻擊者通過Word文檔或網(wǎng)站遠(yuǎn)程執(zhí)行任意代碼。與被感染的PDF類似�,運(yùn)行后,其仍然會顯示原始Word文件����,讓用戶相信其僅僅打開了正常的Word文件�,實際上�,被感染的Word文件將在后臺生成并執(zhí)行感染文件。然后其使用XOR來解密原始DOC文件��,生成并執(zhí)行rundll32.exe文件�。
【使用XOR解密原始DOC文件】
【使用不同的文件名生成和執(zhí)行感染文件】
被感染的可執(zhí)行文件
除了感染W(wǎng)ord文檔和PDF文件外,惡意軟件還會感染可執(zhí)行文件��。該Asruex變種壓縮并加密原始可執(zhí)行文件或主機(jī)文件����,并將其作為.EBSS節(jié)附加在惡意文件中。惡意軟件同樣會生成感染文件�,同時也會正常地執(zhí)行主機(jī)文件。對于被感染的可執(zhí)行文件��,其生成的感染文件名是隨機(jī)分配的�����。
【主機(jī)文件附加到惡意軟件的.EBSS節(jié)】
【生成的感染文件使用任意文件名】
亞信安全教你如何防范
· 打全系統(tǒng)及應(yīng)用程序補(bǔ)?����。?/p>
· 不要點擊來源不明的郵件以及附件����;
· 不要點擊來源不明的郵件中包含的鏈接;
· 采用高強(qiáng)度的密碼�,避免使用弱口令密碼,并定期更換密碼���;
· 盡量關(guān)閉不必要的文件共享����。
亞信安全產(chǎn)品解決方案
· 亞信安全病毒碼版本15.351.60����,云病毒碼版本15.351.71����,全球碼版本15.353.00已經(jīng)可以檢測,請用戶及時升級病毒碼版本���。
· 亞信安全DS產(chǎn)品的DPI規(guī)則已經(jīng)可以檢測該漏洞�����,規(guī)則如下:
1004978- MSCOMCTL.OCX RCE Vulnerability For Office Binary File(CVE-2012-0158)
1004973- MSCOMCTL.OCX RCE Vulnerability For Rich Text File (CVE-2012-0158)
1006071- Heuristic Detection Of Malicious PDF Documents-1(CVE-2007-5669,CVE-2010-2883)
1004393- Adobe Reader SING Table Parsing Vulnerability (CVE-2010-2883)
IOCs
SHA256 b261f49fb6574af0bef16765c3db2900a5d3ca24639e9717bc21eb28e1e6be77
亞信安全是中國網(wǎng)絡(luò)安全行業(yè)領(lǐng)跑者����,以安全數(shù)字世界為愿景,旨在護(hù)航產(chǎn)業(yè)互聯(lián)網(wǎng)����。亞信安全是云安全、身份安全��、終端安全�����、態(tài)勢感知����、高級威脅治理、威脅情報技術(shù)領(lǐng)導(dǎo)者��,同時是5G��、云計算����、物聯(lián)網(wǎng)�、大數(shù)據(jù)�����、工控��、移動六大安全場景引領(lǐng)者���。在國內(nèi)擁有2個獨(dú)立研發(fā)中心��,2,000人安全專業(yè)團(tuán)隊�。欲了解更多��,請訪問:
