近日，亞信安全截獲嵌入Asruex后門病毒的PDF文檔，該病毒利用CVE-2012-0158和CVE-2010-2883漏洞，在Word和PDF文件中注入惡意代碼。其主要影響在Windows和Mac OS X系統(tǒng)中使用的舊版本的Adobe Reader(版本9.x到9.4)and Acrobat(版本8.x到8.2.5)。亞信安全將其命名為Virus.Win32.ASRUEX.A.orig。
 
Asruex后門病毒詳細(xì)分析

Asruex通過帶有PowerShell下載腳本的快捷方式文件感染系統(tǒng)，并通過可移動(dòng)驅(qū)動(dòng)器和網(wǎng)絡(luò)驅(qū)動(dòng)器進(jìn)行傳播。下圖是該惡意軟件的感染鏈：

【Asruex的感染鏈】

 
被感染的PDF文件

安全專家截獲的PDF文件是一個(gè)被Asruex變種感染的文件，如果使用舊版本的Adobe Reader和Adobe Acrobat打開文件，其仍然會(huì)顯示或者打開原始PDF文件，讓用戶相信其僅僅打開了正常的PDF文件，實(shí)際上，受感染的PDF文件將在后臺(tái)生成并執(zhí)行感染文件。

此行為是由于特殊模板在附加主機(jī)文件時(shí)利用了CVE-2010-2883漏洞。該漏洞可以在Adobe的CoolType.dll的strcat函數(shù)中找到，它是一個(gè)排版引擎。由于此函數(shù)不需要檢查要注冊(cè)的字體的長度，因此可能導(dǎo)致堆棧緩沖區(qū)溢出以執(zhí)行其shellcode。最終其使用XOR解密原始PDF主機(jī)文件。此過程如下圖所示：

【病毒利用的漏洞】

【解密原始PDF文件】
 

然后，其會(huì)生成并執(zhí)行嵌入的可執(zhí)行文件(亞信安全將其命名為Virus.Win32.ASRUEX.A.orig)。

【惡意軟件生成的嵌入式可執(zhí)行文件】
 

此可執(zhí)行文件負(fù)責(zé)反調(diào)試和反仿真功能。它檢測(cè)根目錄中是否存在avast!Sandbox \ WINDOWS \ system32 \ kernel32.dll文件，然后，其會(huì)進(jìn)一步檢查以下信息來確定其自身是否在沙箱環(huán)境中運(yùn)行：

• 計(jì)算機(jī)名和用戶名
• 加載模塊的導(dǎo)出函數(shù)
• 文件名
• 運(yùn)行流程
• 運(yùn)行進(jìn)程的模塊版本
• 磁盤名稱中的某些字符串

 
可執(zhí)行文件還將DLL文件(亞信安全檢測(cè)為Virus.Win32.ASRUEX.A.orig)注入合法的Windows進(jìn)程。該DLL文件負(fù)責(zé)惡意軟件的感染和后門功能。它感染文件大小在42,224字節(jié)和20,971,520字節(jié)之間的文件。

【注入進(jìn)程的截圖】

【感染PDF樣本的模板】
 

被感染的Word文檔

該病毒使用特殊模板來利用CVE-2012-0158漏洞感染W(wǎng)ord文檔。該模板在下圖中突出顯示。

【用于感染W(wǎng)ord文檔的模板】
 

CVE-2012-0158漏洞允許可能的攻擊者通過Word文檔或網(wǎng)站遠(yuǎn)程執(zhí)行任意代碼。與被感染的PDF類似，運(yùn)行后，其仍然會(huì)顯示原始Word文件，讓用戶相信其僅僅打開了正常的Word文件，實(shí)際上，被感染的Word文件將在后臺(tái)生成并執(zhí)行感染文件。然后其使用XOR來解密原始DOC文件，生成并執(zhí)行rundll32.exe文件。

【使用XOR解密原始DOC文件】

【使用不同的文件名生成和執(zhí)行感染文件】

 
被感染的可執(zhí)行文件

除了感染W(wǎng)ord文檔和PDF文件外，惡意軟件還會(huì)感染可執(zhí)行文件。該Asruex變種壓縮并加密原始可執(zhí)行文件或主機(jī)文件，并將其作為.EBSS節(jié)附加在惡意文件中。惡意軟件同樣會(huì)生成感染文件，同時(shí)也會(huì)正常地執(zhí)行主機(jī)文件。對(duì)于被感染的可執(zhí)行文件，其生成的感染文件名是隨機(jī)分配的。

【主機(jī)文件附加到惡意軟件的.EBSS節(jié)】

【生成的感染文件使用任意文件名】

 
亞信安全教你如何防范

• 打全系統(tǒng)及應(yīng)用程序補(bǔ)�。�
• 不要點(diǎn)擊來源不明的郵件以及附件；
• 不要點(diǎn)擊來源不明的郵件中包含的鏈接；
• 采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼；
• 盡量關(guān)閉不必要的文件共享。

 
亞信安全產(chǎn)品解決方案

• 亞信安全病毒碼版本15.351.60，云病毒碼版本15.351.71，全球碼版本15.353.00已經(jīng)可以檢測(cè)，請(qǐng)用戶及時(shí)升級(jí)病毒碼版本。

• 亞信安全DS產(chǎn)品的DPI規(guī)則已經(jīng)可以檢測(cè)該漏洞，規(guī)則如下：

1004978- MSCOMCTL.OCX RCE Vulnerability For Office Binary File(CVE-2012-0158)
1004973- MSCOMCTL.OCX RCE Vulnerability For Rich Text File (CVE-2012-0158)
1006071- Heuristic Detection Of Malicious PDF Documents-1(CVE-2007-5669,CVE-2010-2883)
1004393- Adobe Reader SING Table Parsing Vulnerability (CVE-2010-2883)
IOCs
SHA256 b261f49fb6574af0bef16765c3db2900a5d3ca24639e9717bc21eb28e1e6be77
 

標(biāo)簽： Asruex 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。