常见绕过office文件检测的恶意样本研究

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

关注

概述

在日常的工作中，安恒信息威胁情报分析团队每天都会收到大量恶意文件的反馈，使用自动化批量处理的方式对各种类型的攻击样本进行分类归档。笔者在监控过程中发现一些异常样本，这些异常的样本使用了多种方式绕过常规的静态检测，很多样本在VT网站的检测率也是很低，笔者将对其中绕过office文档的检测方法进行技术分析。

针对Office文档检测绕过的分析

文档加密绕过检测

这里说的加密并不是使用RAR或Zip方式加密压缩文件，而是使用office自带的文档加密功能。在正常的office文档使用的过程中，为了保护文档版权或泄漏，通过密码保护文档防止未授权用户打开或者修改，如下图所示：

经过加密后的文件都转换OLE格式且被AES为加密的。

笔者在最近捕获的样本中，发现部分的CVE-2017-11882样本利用了该特性，样本MD5：4344baf38635e88cb163cacd277e7129。一般常规利用CVE-2017-11882漏洞的OLE格式样本会包含公式编辑器的CLSC000-000000000046}，如下图所示：

而捕获的变异样本是经过AES加密，在文件中未能发现相关特征，常规的yara规则已经无法检测了。

另外，虽然文档被加密（即在不输入密码的情况无法看见文件内容，常规打开文件时如下图所示）

但是office软件在打开该文件时无需输入密码直接触发Office公式编辑器漏洞，从而下载了恶意文件并运行。

改变文档格式绕过检测

在保存office文档时，可以选择不同类型的格式进行保存。

攻击者会利用格式的差异性进行绕过攻击，在曝光的APT32攻击事件中，研究员发现攻击者利用ActiveMime文件，将office文件转换为MHT格式进行绕过的真实案例。感兴趣的朋友可以研究样本MD5：5458a2e4d784abb1a1127263bd5006b5。

最近，我们通过监测发现了几起利用CVE-2017-0199漏洞进行攻击的样本中，攻击者将office转换为XML格式后逃避文件格式判断检测的情况，样本MD5：3edc21cdfe18088bed5258b3f6581133。使用文本编辑器打开样本文件，发现它就是XML格式，在文件的第二行表明该文件是通过Word格式转换而来。

格式化XML文件后，可以很清晰的发现恶意代码：

虽然，文件被威胁分析平台识别将文件格式识别为XML，导致静态无法检测，但是动态分析依然能够检测。

金蝉脱壳型绕过检测

在2017-05-12年，安全研究院团队曾发布过一篇《LOCKY勒索者新花样：通过PDF投递》文章，里面提到pdf内嵌dotm格式的宏病毒的情况。在今年5月份时，研究团队又抓获到另一起PDF内嵌office文档的攻击，其PDF文件MD5值：21ea906e673c2c2ecf65ff706159a722。

经过深入分析，发现相对于之前嵌入dotm格式的宏病毒，这次嵌入格式为dotx。（备注：dotm格式为启用宏的模板格式，而dotx格式是禁用宏的板）

运行PDF文档即会运行dotx文档，该dotx文档并没有恶意的宏代码，而是CVE-2017-0199的利用样本。

该样本触发漏洞会向hxxp://utasarmsinc.ru/one/dew006.doc进行远程下载并打开文档。而这个下载的dew006.doc文档又为CVE-2017-11882的漏洞利用样本。笔者相信采用多层文件嵌套加多个漏洞组合利用的方式来植入恶意程序的情况会越来越多。

总结

除了上面提到的，我们还发现了大量混淆样本利用office解析器的健壮性绕过静态检测的情况，该问题在恶意的RTF文件中尤为突出。由于涉及的点较多，这里就不展开细说，感兴趣的朋友可以联系我们一起研究探讨。

相关IOC

文件MD5：

4344baf38635e88cb163cacd277e7129

5458a2e4d784abb1a1127263bd5006b5

3edc21cdfe18088bed5258b3f6581133

21ea906e673c2c2ecf65ff706159a722

IP地址：

216.170.126.114

域名：

vengeanceofbane.byethost24.com

utasarmsinc.ru

上周热门文章TOP3

未知攻，焉知防：明御APT攻击（网络战）预警平台重大升级！中非合作论坛北京峰会|安恒信息为峰会网络安全打起“保护伞”程序员爬虫竟构成犯罪？