精確檢測SANDWORM(沙蟲)APT攻擊
責編:admin |2014-10-17 11:25:311. 啟明星辰天闐APT產品精確檢測SANDWORM(沙蟲)APT攻擊
關鍵詞:啟明星辰 APT 沙蟲 天闐
2014年10月15日,啟明星辰APT研究團隊獲取到最新安全漏洞SandWorm(以下簡稱:沙蟲)漏洞,該漏洞編號為CVE-2014-4114。經過樣本分析發現,該漏洞影響windows vista、windows7等以上操作系統,該漏洞屬于Windows的OLE Package邏輯漏洞。該漏洞傳播的文件載體無需任何shellcode、木馬,導致基于檢測點的檢測設備無能為力,由于是可以觸發OLE包管理INF 任意代碼執行漏洞,就具有易被利用、易被改造的特點,如被黑客二次利用后擴散范圍更廣。啟明星辰天闐APT研究團隊第一時間捕獲到該漏洞樣本后,快速做出產品級應急響應,請參見后《SANDWORM(沙蟲) APT攻擊詳細分析及解決辦法》。
根據啟明星辰APT研究團隊知名人士確認,沙蟲漏洞是俄羅斯知名黑客用于對北約發起的APT攻擊中使用的漏洞。該漏洞幾乎影響所有微軟Windows vista以上裝有Office軟件的系統主機操作系統,通俗地說,這類攻擊是通過發送附件文檔的方式發起,受害者只要打開文檔就會自動中招,也就是只要電腦中安裝了覆蓋面廣泛的Office軟件,都有可能受到該漏洞的影響。輕則信息遭到竊取,嚴重的則成為高級可持續威脅的攻擊跳板,該漏洞還繞開常見的殺毒軟件的特點,漏洞風險性較高。
啟明星辰建議,假如有陌生人向您發來office類文檔,請慎重打開。
今年以來,從Apache 的struts2 大范圍爆發,到Open SSL心臟出血漏洞爆發,再到BASH 破殼漏洞爆發,2014年注定是網絡安全界一個不安分的年份。啟明星辰天闐APT產品正是順應時代的召喚,率先推出自主研發的預防高級可持續威脅攻擊的檢測類產品,源代碼自主可控,精確檢測最新0-day漏洞,產品功能多樣性、可組合能力強等特點十分契合行業級用戶的實際需求。
2. SANDWORM(沙蟲) APT攻擊詳細分析及解決辦法
漏洞概要
國外廠商iSIGHT Partners10月14日發布公告稱,俄羅斯黑客利用微軟Windows系統中的SandWorm(沙蟲)漏洞對歐美國家政府、北約,以及烏克蘭政府展開間諜活動。 經分析,該樣本使用了Windows OLE遠程代碼執行漏洞(CVE-2014-4114)樣本已在網上傳播。該漏洞影響windows Vista SP2 、win7到Win8.1的所有系統。該漏洞是一個邏輯漏洞,通過Office文檔就可以觸發該漏洞,特別值得一提的是并非內存破壞性質的漏洞,能繞過大部分主動防御類軟件。
樣本簡要分析
樣本大小:108917字節
樣本MD5:330e8d23ab82e8a0ca6d166755408eb1
樣本經過解壓后可以看到里面內嵌了兩個OLE組件。
該樣本運行后,會下載一個名為slide1.gif的PE文件和一個slides.inf的配置文件。之后Ole Package通過IOleObject::DoVerb函數判斷ole對象類型,如果是inf,就會去自動加載并安裝。
首先inf會將下載來的同目錄下的slide1.gif重命名為slide1.gif.exe。然后在HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce添加了對應的自啟動項,使得重啟后仍然可以執行病毒程序。
釋放的slide1.gif.exe運行后會繼續釋放名為FONTCACHE.DAT的動態庫,并調用rundll32.exe執行該動態庫的導出函數"MakeCache"。隨后在啟動文件夾下創建了自啟動項。
之后便開始和黑客服務器進行連接,以接收進一步指令。
檢測方法
啟明星辰自主研發的天闐APT產品可完全檢測出該樣本。
首先對帶有漏洞的pps文件進行檢測,檢測結果如下:
該系統可對樣本進行多環境檢測,在XP環境中,我們未檢測到攻擊行為發生,在Windows 7的Office 2007環境下則檢測出了漏洞攻擊行為并報警。
當漏洞利用檢測系統檢測到文檔文件有問題后,該檢測系統會自動將生成的可疑PE文件送入可疑行為分析系統內進行檢測,檢測結果如下。如圖,該系統可以成功檢測到slide1.gif的惡意行為并報警,另外該系統也能對樣本發起的可疑C&C連接進行檢測并報警。
防御方法
安裝微軟本月發布的最新補丁MS14-060。https://technet.microsoft.com/library/security/MS14-060
天闐APT產品通過與天清NGIPS產品的聯動,實現了對此類利用沙蟲漏洞進行攻擊的有效防護。當檢測到樣本的惡意行為及后續可疑C&C連接行為后,天闐APT產品可自動提取相關惡意行為的傳播特征及后續的連接行為特征,并將特征下發到其聯動的NGIPS產品當中,同時自動生成防護策略,有效阻斷此次利用沙蟲漏洞進行的后續攻擊行為以及后續可能發生的同類攻擊。
天闐APT產品通過與現有天闐IDS、天清NGIPS、網閘等安全產品的聯動,為客戶構建了最為快捷有效抵御已知+未知攻擊的多層次立體化的檢測與防護體系,讓攻擊無所遁形。