安天对CVE-2017-11882漏洞利用样本的检测与防御

时间  2017年12月08日  来源:  安天

一、CVE-2017-11882漏洞简介

近期,安天检测到多起利用CVE-2017-11882漏洞进行定向攻击的事件。该漏洞原理简单,利用稳定,并且可以做到无交互,无感知,可用于鱼叉式钓鱼攻击和水坑攻击中,如近期发现的Cobalt组织正在向目标用户发送带有恶意RTF文件的鱼叉式钓鱼邮件,在用户打开邮件附件后会触发漏洞,下载恶意载荷实施攻击。

CVE-2017-11882漏洞是一个Office远程代码执行高危漏洞,该漏洞出现在公式编辑器模块EQNEDT32.EXE中(公式编辑器模块,用于在文档中插入和编辑公式,在Office的安装过程中默认安装),其已经悄然潜伏了17年之久,影响目前所有主流的Microsoft Office版本(Office 2007 SP3、Office 2010 Service Pack 2、Office 2013 Service Pack 1、Office 2016)。攻击者可以利用此漏洞在当前登录用户的上下文中执行任意代码,隐蔽性极高,目前关于该漏洞的利用细节已被公开,后续对此漏洞的利用会越来越多。

微软于2017年11月14日发布了11月的安全补丁更新,对该漏洞进行了修复,建议用户及时更新补丁。补丁下载链接为:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882。

安天追影威胁分析系统(PTA)可对利用该漏洞的样本进行检出,结合安天智甲终端防御系统(IEP)可针对此类威胁进行有效防护。

二、安天追影对样本的检测

安天追影搭载安天自主研发的AVL SDK威胁检测引擎,采用动静态相结合的鉴定方式对文件进行深度分析。静态方面,安天AVL SDK可深度解析Office文件结构,细粒度地对文件进行解析还原,分离出文件中的OLE(嵌入对象与链接),能够精准识别触发漏洞的恶意文件,为后续防御提供准确的检测结果。动态方面,将被鉴定文件投放到建有模拟环境、配有模拟用户操作(诱导未知文件中的恶意代码发出攻击行为)的虚拟机中,还原样本真实的运行环境,监控其运行过程以及所有进程的活动,对其代码特征和攻击特点进行详细的分析,能有效触发漏洞利用,检出异常行为。

在对利用CVE-2017-11882漏洞的样本的分析过程中,得出了利用该漏洞进行攻击的几个关键步骤,如下图所示。

图1 利用CVE-2017-11882漏洞进行攻击的关键步骤

根据上述攻击过程,安天追影针对其中一例利用该漏洞的样本给出了以下分析结果。

图2 安天追影生成的检测报告部分截图

从检测报告中可以看出详细的分析结果:

1)安天追影从样本中动态获取到了OLE行为。

样本利用OLE在文档中插入公式,触发公式编辑器EQNEDT32.EXE缓冲区溢出漏洞。当公式编辑器EQNEDT32.EXE发生缓冲区溢出后,会跳转执行一段恶意的shellcode,下载恶意载荷并执行。

2)安天追影通过动态分析鉴定器截获到了下载恶意载荷的HTTP访问请求。

3)安天追影所检出的相关行为及漏洞利用细节完全符合CVE-2017-11882漏洞利用的特征,因此追影对该样本的鉴定结果为疑似高级威胁。

三、安天威胁防御方案

安天追影深度分析形成的详实报告可作为线索,与安天自主研发的智甲终端防护系统、镇关下一代防火墙、探海威胁检测系统、态势感知平台以及第三方安全防护产品联动,实现恶意程序监测、分析、阻断、研判;有效防御感染式病毒、蠕虫、木马、勒索软件和格式文档攻击等安全威胁。

针对恶意的shellcode,安天智甲可实现恶意文件查杀和CVE-2017-11882漏洞修复等主动防御措施。

3.1 恶意文件查杀

3.2 CVE-2017-11882漏洞修复

安天智甲针对CVE-2017-11882漏洞可提供Office漏洞修复补丁,管理员可在管理中心下发客户端漏洞修复指令,无需逐一终端手动操作,保障用户正常办公应用。

四、安天追影的能力与价值

安天追影是一款将安天后端核心自动化分析能力前置到用户侧的深度分析设备,可针对文件、URL等对象进行动静态深度分析与鉴定,全面评估对象信誉,有效触发0Day漏洞,检测免杀木马、高级攻击样本等威胁,细粒度揭示文件行为,输出威胁情报和详细的分析报告。

4.1 多鉴定器深度检测

安天追影内部集成多种鉴定器,可对文档文件、可执行文件、URL等对象进行深度安全分析,有效检出各类已知威胁与未知威胁。

4.2 多环境动态分析

安天追影支持多种检测环境,多系统+多软件的最优组合模式能有效还原样本执行的真实环境,结合不同模拟响应手段可更多的触发样本运行过程中的行为,获得更丰富的运行数据。

4.3 多设备联动防护

安天追影不仅具备和自有产品联动能力,而且提供标准化接口,可与第三方安全产品(防火墙、UTM等)、邮件服务器、OA系统等联动;追影对恶意程序提供深度分析能力,其分析结果可作为判定线索反馈给第三方设备,实时准确的阻断恶意程序传播。之外,追影提供分析报告输出能力,帮助用户获得全面掌握恶意程序爆发与传播情况。

4.4 详实的鉴定报告

样本文件经过安天追影鉴定后,可输出详细的分析报告,其中记录被鉴定文件的各类鉴定信息,呈现文件判定结果的鉴定依据,为用户提供更多防护依据。

4.5 产品价值输出

安天追影能为用户提供本地化可靠的深度鉴定能力,其基于高仿真的动态沙箱能有效触发漏洞利用,深度揭示恶意行为,呈现完整详实的分析报告,输出高价值的威胁情报,为人工分析提供准确丰富的数据基础。