概述
0day漏洞利用一直是網路攻防的重頭戲,近期紅雨滴雲沙箱率先捕獲到針對WPS文件處理軟體的0day漏洞利用樣本。樣本通過遠端程式碼執行(RCE)漏洞下載白加黑元件替換WPS自帶的公式編輯器元件,啟動後進一步從雲服務獲取後續載荷。經測試,該文件所利用的漏洞在不久前發佈的WPS 12.1.0.15355版本上也能觸發,且只需打開文件,不用任何使用者互動,潛在影響面較大。奇安信第一時間將該漏洞利用資訊報告給廠商,目前官方已發佈更新,建議使用者儘快將WPS升級到最新版。
相關樣本紅雨滴雲沙箱報告連結
捕獲到的相關樣本紅雨滴雲沙箱分析報告列表:
|
樣本名稱 |
MD5 |
紅雨滴雲沙箱報告連結 |
備註 |
|
【共克時艱】2023年企業薪資調整通知.docx |
69******* |
暫不公開 |
WPS 0day漏洞利用文件 |
|
共克時艱-2023年企業薪資調整通知.docx |
3b******* |
暫不公開 |
WPS 0day漏洞利用文件 |
案例:WPS漏洞利用文件樣本分析
樣本基本資訊
|
紅雨滴雲沙箱報告連結 |
暫不公開 |
|
樣本檔案名 |
【共克時艱】2023年企業薪資調整通知.docx |
|
樣本MD5 |
69******* |
|
樣本類型 |
Word Microsoft Office Open XML Format Document |
|
樣本大小 |
20682位元組 |
|
RAS檢測結果 |
en-US wps_equation zh-CN |
|
樣本基因特徵 |
解壓執行 持久化 探針 HTTP通訊 加殼程序 隱藏自身 檢測虛擬機器 C&C 檢測防毒軟體 可疑命令列 勒索軟體 聯網行為 檢測偵錯程式 檢測沙箱 |
使用紅雨滴雲沙箱分析樣本
通過訪問紅雨滴雲沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱進行輔助分析。
紅雨滴雲沙箱分析入口
在上傳待分析檔案後,可以手動設置沙箱分析參數:分析環境(作業系統)、分析時長等。由於紅雨滴雲沙箱針對各類樣本已經進行了智慧化判定,所以基本上以默認方式提交檢測即可。
紅雨滴雲沙箱支持對WPS文件樣本的檢測分析,對於WPS文件,可以選擇如下分析環境。
點選「開始分析」按鈕後,會自動跳轉到對應樣本的分析檢測結果頁面。稍等數分鐘則可以看到整個樣本的詳細分析報告。
上傳分析完成後,通過概要資訊可看到該樣本的基本資訊:包括hash、檔案類型、簽名等。可見紅雨滴雲沙箱基於智慧的惡意行為綜合判斷已經識別出檔案可疑並給出了10分的惡意評分。注意到紅雨滴雲沙箱內建的RAS檢測引擎打上了wps_equation的可疑標籤,這表明該文件可能涉及到啟動WPS的公式編輯器。
點選右側導航欄的深度解析功能,在流檔案資訊中可以看到文件中包含公式編輯器OLE對象資料。
主機行為中的進程資訊表明文件打開後,WPS的公式編輯器程序也被啟動。
通過網路行為可以看到該文件的可疑網路通訊行為,訪問雲服務域名,下載帶有exe副檔名的後續載荷,而該雲服務域名的解析IP是被公式編輯器進程訪問。
樣本分析
以上種種可疑跡象表明該樣本很可能使用了漏洞,為了探明究竟,我們對樣本採取了進一步的分析。文件中存在一處外部連結,當文件打開後,載入該外部連結頁面並執行其中的JS程式碼。
JS程式碼進一步下載兩個PE檔案,替換WPS安裝目錄中的原有元件」EqnEdit.exe」和」symsrv.dll」,這兩個元件與公式編輯器相關。替換完成後,JS程式碼觸發文件中的公式編輯器OLE對象,進而啟動覆蓋後的EqnEdit.exe檔案。
下載的兩個PE檔案使用DLL白利用手法,惡意symsrv.dll載入後從雲服務下載後續並執行。
對於前所未見的包含可疑標籤的樣本,奇安信威脅情報中心有7×24的分析團隊做進一步的人工分析。經測試,該文件無需使用者互動,使用WPS打開即可觸發對上面外部連結的訪問,並且在WPS 12.1.0.15355版本上可以成功執行,因此能夠確認該文件利用了WPS的遠端程式碼執行0day漏洞。奇安信威脅情報中心第一時間通知了廠商,目前WPS已發佈針對該漏洞的緊急更新,建議相關使用者儘快升級到最新版。
本次攻防演練中,奇安信的安全檢測產品和服務不辱使命,EDR系統和情報沙箱及時發現了兩例利用國產辦公軟體0day漏洞的攻擊線索,結合經驗豐富的人工分析確認,遵從負責任的漏洞披露原則儘快同步給廠商,有效緩解了漏洞的危害。
部分IOC資訊
域名:
76z1xwz6mp5fq7qi4telphdn0c0.oss-cn-shenzhen.aliyuncs.com (雲服務)
6e8t0xobdnmerpraecktu1bge1kmo1cs.oss-cn-shenzhen.aliyuncs.com (雲服務)
IP:
123.57.150.145
39.105.128.11
47.93.247.53
123.56.0.10
39.105.138.249
182.92.111.169
關於紅雨滴雲沙箱
紅雨滴雲沙箱是威脅情報中心紅雨滴團隊基於多年的APT高級攻防對抗經驗、安全大資料、威脅情報等能力,使用軟、硬體虛擬化技術開發實現的真正的「上帝模式」高對抗沙箱,協助奇安信威脅情報中心及相關安服和客戶發現了多個在野0day漏洞攻擊、nday漏洞攻擊,和無數計的APT攻擊線索及樣本,是威脅情報資料產出的重要基石。
威脅情報中心紅雨滴雲沙箱在兩年多以前即被威脅分析廠商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
紅雨滴雲沙箱已集成VirusTotal
並且,紅雨滴雲沙箱也是VirusTotal中對惡意樣本行為檢出率最高的沙箱產品之一,部分高危樣本可以通過點選BEHAVIOR選項卡查看到VirusTotal-紅雨滴雲沙箱的分析報告[1]。
VirusTotal樣本動態分析結果中集成的紅雨滴雲沙箱分析結果
參考連結
[1].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip點選閱讀原文至ALPHA 6.0
即刻助力威脅研判