30期报告汇总
安天发布《以印度驻阿富汗大使为目标的新型恶意软件“ROVER”分析报告》
以下内容为本次攻击过程的具体描述:近日印度驻阿富汗大使收到一封发件人署名为“印度目前的国防部长”的邮件,邮件中赞扬了该大使为国家所做的贡献和取得的成功,邮件中含有一份附件名为“Appreciation_letter.doc”。
实际上,该邮件附件是利用了漏洞CVE-2010-3333的一个富文本文件,一旦受害者在有漏洞的word版本打开该文档,就会触发漏洞。该漏洞是office的RTF解析漏洞,主要是在解析pfragment属性出现的栈溢出问题,漏洞函数存在于mso.dll模块中,漏洞函数在数据复制时其复制次数可以在pfragment属性中设置。因为没有对复制次数进行检测,导致栈溢出,栈溢出后可以覆盖SEH链,最后触发异常劫持EIP并跳转到shellcode处执行,从而完成漏洞利用。
被利用该漏洞后,受害机器将从newsumbrella.net下载文件“file.exe”,该程序是一个下载器,它从newsumbrella.net下载主Rover恶意软件和相关插件,随后这些文件会在受害机器上运行,盗取受害者硬盘中指定类型的文件及受害者键盘记录、屏幕截图等数据,并上传至C2服务器,完成攻击目的。
据了解,恶意软件Rover主要利用的技术为“OpenCV”和“OpenAL”,相对于当下一些先进的恶意软件,Rover其实缺少很多常用功能,但它却能完美躲过各路安全厂商的查杀。随着“互联网+”时代的到来,安天追影小组预测越来越多以组织、国家为目标的“Rover”类似软件将会出现,了解其攻击行为和技术,是维护组织信息安全的关键所在。