Asruex后门变种经由过程Office和Adobe破绽感染word和PDF文档 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Asruex后门变种经由过程Office和Adobe破绽感染word和PDF文档

申博_安全预警 申博 86次浏览 已收录 0个评论

研究人员早在2015年就发明了Asruex后门,而且与DarkHotel监控歹意软件有关联。研究人员最近在PDF文件中发明了Asruex,经由剖析发明歹意软件变种经由历程CVE-2012-0158和CVE-2010-2883破绽作为感染器来将代码注入word和PDF文件中。

运用老的已修复的破绽表明该变种的目的是Windows和Mac OS X体系上运用老版本Adobe Reader(versions 9.4之前版本)和Acrobat(v 8.2.5之前版本)的用户。

由于其奇特的感染才能,平安研究人员能够不会斟酌搜检Asruex感染的文件,并延续监控后门的才能。了解了新感染要领能够协助应对此歹意软件变种。

技术细节

Asruex是经由历程快捷方式文件感染体系,该快捷方式文件有一个PowerShell下载剧本,经由历程可删除驱动和收集驱动举行流传。下图是歹意软件的感染链:

受感染的PDF文件

研究人员第一个碰到该变种是一个PDF文件。进一步剖析表明该PDF文件并非歹意文件,而是Asruex变种感染的文件。

受感染的PDF文件如果在老版本的Adobe Reader或Adobe Acrobat中翻开,就会在背景开释和实行感染器。也会展现或翻开原始PDF文件的内容,运用户置信PDF文件一般翻开和显现了。

该破绽位于Adobe CoolType.dll文件的strcat函数。由于该函数没有搜检要注册的字体的长度,以激发栈缓存溢出来实行shellcode。末了,用XOR解密原始PDF host文件。历程如下图所述:

Asruex后门变种经由过程Office和Adobe破绽感染word和PDF文档

图2. 变种应用的破绽

Asruex后门变种经由过程Office和Adobe破绽感染word和PDF文档

图3. 解密的原始PDF主机文件

然后开释和实行嵌入的可实行文件,如图4。

Asruex后门变种经由过程Office和Adobe破绽感染word和PDF文档

图4.歹意软件开释的嵌入可实行文件

可实行文件担任多个反剖析和反模仿功用。搜检根目录下是不是存在avast! Sandbox\WINDOWS\system32\kernel32.dll,然后搜检下面的信息来肯定是不是运转在沙箱环境中运转:

· 盘算机名和用户名

· 加载的模块导出的函数

· 文件名

· 运转的历程

· 运转的历程的模块版本

· 磁盘名中的特定字符串

可实行文件还会注入DLL c982d2ab066c80f314af80dd5ba37ff9dd99288f (Virus.Win32.ASRUEX.A.orig)到正当的Windows历程内容中。DLL担任歹意软件的感染和后门功用。还会感染42224字节到20971520字节大小局限内的文件,作为一个参数来减小歹意软件代码适配的host文件的局限。

2019上半年企业安全总结

一、 前言 2019年6月,多家媒体报道,美国总统特朗普允许网络司令部对伊朗的火箭及导弹发射系统发起攻击。有报道称该攻击使伊朗这一武器系统“瘫痪”。6月24日伊朗通信和信息技术部长穆罕默德·贾哈米发推特称:“美方尽全力对伊朗发动网络攻击,但是失败了。2018年伊朗的网络防火墙阻止了3300万次网络攻击。” 在网络安全风险高发的大背景下,我国于2016年出台了《网络安全法》,并在 2019年5月发布了安全等

受感染的word文件

如前所述,歹意软件用经心捏造的模板来应用CVE-2012-0158破绽来感染word文件,模板如图7所示:

CVE-2012-0158破绽许可进击者经由历程word文件或web站点来长途实行恣意代码。与受感染的PDF文件相似,歹意软件会在背景开释和实行感染器。同时,还会显现原始的doc host文件,让用户置信翻开的文档是一般的。

受感染的文件会用OXR解密原始的DOC host文件,如图8所示。该文件会一般翻开,只要在文件名方面有一点点差别。歹意软件会以rundll32.exe的情势开释和实行,如图9所示。

Asruex后门变种经由过程Office和Adobe破绽感染word和PDF文档

图8. 运用XOR来解密原始的DOC host文件

Asruex后门变种经由过程Office和Adobe破绽感染word和PDF文档

图9. 用差别的文件名来开释和实行感染器

受感染的可实行文件

除了word文件和PDF文件外,歹意软件会感染可实行文件。Asruex变种会紧缩和加密原始的可实行文件或host文件,并加到.EBSS section。如许歹意软件就能够开释感染器,并一般地实行host文件。对受感染的可实行文件来讲,感染器在开释时运用的文件名是随机分派的,如图11所示:

Asruex后门变种经由过程Office和Adobe破绽感染word和PDF文档

图11. 用作开释的感染器的随机文件名

结论

之前就有关于Asruex后门才能的剖析。这类迥殊的感染才能能够协助建立关于歹意软件变种的防护。该变种运用的破绽已被发明5年之久,而研究人员发明该变种不凌驾一年。也就是说该变种进击的目的就是那些运用未更新的Adobe Acrobat和Adobe Reader版本的用户。

研究人员发起用户根据以下步骤来应对Asruex和相似的软件:

· 在翻开移动硬盘或U盘中的文件前先扫描。

· 只管不要接见可疑或未知泉源的URL。

· 在翻开或下载邮件附件时,要迥殊警惕,尤其是来自未知泉源的邮件。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/asruex-backdoor-variant-infects-word-documents-and-pdfs-through-old-ms-office-and-adobe-vulnerabilities


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Asruex后门变种经由过程Office和Adobe破绽感染word和PDF文档
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址