宏攻击防不胜防江湖再现新变种.PDFVIP

2016 年11 月 “宏”攻击防不胜防 江湖再现新变种 网络威胁 全面检测 目录 一. “宏”攻击防不胜防，江湖再现新变种4 二. 样本概述和特点5 2.1 0x01. 宏代码分析5 2.2 0x02. Shellcode 分析9 2.3 0x03. PE dump 分析 10 三. 样本报告 12 启明星辰APT 检测产品可以有效检测该样本 12 四. 为什么需要部署启明星辰APT 检测产品 13 4.1 启明星辰APT 产品检测解决思路 13 4.2 关于VenusEye 安全团队 14 插图索引 图 2.1 相关宏代码5 图 2.2 从控件中取数据6 图 2.3 初始状态，TabStrip 控件被隐藏6 图 2.4 TabStrip 控件的ControlTipText 属性显示的文字6 图 2.5 新旧shellcode 对比7 图 2.6 函数地址和相应变量7 图 2.7 调用RtlMoveMemory 拷贝shellcode7 图 2.8 宏调用EnumCalendarInfoW 函数的声明8 图 2.9 EnumCalendarInfo 函数定义8 图 2.10 调用EnumCalendarInfoW 函数，并将shellcode 当作回调函数传入8 图 2.11 EnumCalendarInfoW 函数入口处代码8 图 2.12 EnumCalendarInfoW 函数调用shellcode 9 图 2.13 Shellcode 对比数据 10 图 2.14 CC 返回的控制指令 11 图 3.1 恶意样本调用函数截图 12 图 3.2 恶意样本注入进程截图 12 一. “宏”攻击防不胜防，江湖再现新变种 继2016 年11 月4 日发布了《小心，“宏”成为新攻击手法的主力军》报告之后， VenusEye 安全团队又发现一类 “宏”攻击恶意样本。 经过分析发现，该类恶意样本与早前披露的样本存在两点不同，可再次躲避防病 毒软件的查杀。  恶意代码隐藏位置不同：新样本从TabStrip 控件中获取加密的shellcode， 与早前从ToggleButton 控件中获取的方式不同。  样本调用的特殊函数不同：新样本调用了EnumCalendarInfo 函数，该函数 主要功能是，遍历日历信息。该函数与早前披露的EnumDateFormats 的参 数相似，调用方法同源。 基于以上两点，我们判断黑客应该还掌握着绕过防病毒软件的“秘密武器”，并 且，随时可能发起新的攻击。由于信息安全意义上的0-Day 是指在安全补丁发布 前而被了解和掌握的漏洞信息，基于谨慎原则，我们判定该恶意样本属于“未知 病毒”。 根据我们的监测，截止到2016 年11 月08 日15：00PM 为止，这类宏恶意样本可 以绕过绝大多数国内外流行的防病毒软件的检测。我们将技术细节信息公布，属 于国内首次披露的专项报告。 我们再次提请广大用户引起注意，该类宏攻击可能爆发，对我国金融、能源、政 府、电力等数个敏感行业用户造成威胁。 二. 样本概述和特点 样本名：sample.doc MD5：0d1dbb318ca？？？？8a96e3e9abb307f3616cd 2.1 0x01. 宏代码分析 1、宏恶意代码如下所示： 图2.1 相关宏代码 2、宏代码首先会从一个名为 “natal ”的窗体的 TabStrip 控件中的 ControlTipText 获取数据。并从右侧取得7368 个字符。与小心， “宏”成为新攻击手法的主力军》之前披露信息不同的是，不从ToggleButton 控件中获得的数据。 图2.2 从控件中取数据 3、查看n