在新的恶意软件活动中,网络犯罪分子修改了一个已知的漏洞利用链,让Agent Tesla在窃取信息时不会触发常见防病毒产品的检测。 网络犯罪分子设置了一个基础架构,通过针对Microsoft Word漏洞CVE-2017-0199 和CVE-2017-11882的两个公共漏洞来使用多个恶意软件。
恶意软件活动以邮件形式传播
根据Cisco Talos的分析师的说法,该恶意软件活动旨在至少利用三个有效载荷:Tesla,Loki和Gamarue。 所有这些都能够窃取信息,而且只有Loki缺乏远程访问功能。
攻击以包含Word文档(DOCX)的电子邮件开始,该文档包括用于下载和打开RTF文件的例程,该文件提供最终的有效负载。RTF没有被注意到有恶意软件。
58个防病毒程序中只有两个检测到可以活动。标记此样本的程序仅警告格式错误的RTF文件.
AhnLab-V3将其标记为’RTF / Malform-A.Gen’,而Zoner表示可能标志为’RTFBadVersion’,“
防病毒软件无法检测到攻击的两个原因
研究人员表示,对漏洞利用链进行的修改使包含下载恶意软件程序的文档无法被常规防病毒解决方案检测到。
有效载荷丢弃钻取的秘密依赖于RTF文件格式的特殊性,它支持通过OLE(对象链接和嵌入)嵌入对象,并使用大量控制字来定义它所拥有的内容。
除此之外,常见的RTF解析器通常会忽略它们不知道的内容,结果是隐藏漏洞利用代码的完美组合。 在这种情况下,用户在没有更改Microsoft Word的设置或单击任何内容时就会触发漏洞利用。
RTF与OLE对象的控制字
RTF文件结构中的混淆并不是唯一有助于文档未被检测到的原因。 更深入的分析显示攻击者更改了OLE Object头的值。
在标题之后,他们添加了关于看起来像字体标记的数据,但结果证明它是Microsoft Office中CVE-2017-11882内存损坏漏洞的漏洞。
修改了标题信息
研究人员表示,无论手动修改还是使用工具进行修改,该技术都是危险的。 这些更改处于较低级别,并使一切看起来不同,但它使用的漏洞代码已在 其他广告系列中 看到过 。
恶意软件功能
Talos将特斯拉特工称为“复杂的信息窃取木马”,作为合法的键盘记录实用程序销售。 然而,研究人员质疑该工具的合法功能,称它具有25种常见应用程序的密码窃取功能,如流行的Web浏览器,电子邮件和FTP客户端。
Loki恶意软件严格属于信息窃取类别,希望获取密码。 它经常被广告宣传,它的描述补充说它也可以针对加密货币钱包。
至于Gamarue系列威胁,它在为僵尸网络牧民提供新机器人方面有着良好的记录。 它是一种蠕虫,因此可以快速传播到易受攻击的系统,让操作员可以访问它们。 虽然它不是专业,但Gamarue可用于窃取敏感信息。
原文链接:https://www.bleepingcomputer.com/news/security/new-technique-recycles-exploit-chain-to-keep-antivirus-silent/