安全通告
近日,8087金沙娱场城截获了一款通过垃圾邮件传播的信息盗窃病毒MassLogger,一旦用户打开邮件中的附件,就会在特定版本的Office软件上触发恶意代码执行漏洞,从黑客的C&C服务器上下载恶意软件到本机。这些恶意软件经过解码,加载DLL,最终执行信息盗窃病毒MassLogger。该病毒对自身代码进行了混淆,且采用反射加载技术。其功能较多,包括收集受害者的电脑基本信息、浏览器配置信息、浏览器密码、邮箱配置、剪切板内容以及键盘记录等。
攻击流程
病毒详细分析
RFQ 54635378.doc & Commercial Invoice .doc 分析
该样本利用Office WinWord漏洞CVE-2017-11882执行Shellcode,因Office工具软件公式编辑器使用了不安全的函数strcpy()使得攻击者可以进行栈溢出攻击执行任意代码。
Shellcode执行的动作是从C&C下载恶意文件并运行。C&C:hxxp://gooddns.ir/atlasx/atlasx.exe
Atlasx.exe分析
将硬编码到自身的DLL加载到内存。
Fqbojh.dll分析
调用DLL中的函数检测杀毒软件。
调用DLL函数检测虚拟环境。
调用DLL函数新开线程解密并加载执行木马MassLoggerBin.exe。
尝试链接C&C下载信息。
MassLoggerbin.exe分析
该样本首先检测是否存在杀毒软件。
解密配置信息,包括FTP服务器地址,电子邮件地址以及相应的账号密码。
目前此邮箱已无法访问。
收集系统相关信息(如:进程列表、CPU型号、国家地区等)和剪切板包含的文字信息。
查询注册表收集各个版本的Outlook的各种配置信息。
收集firefox浏览器存贮在本地的密钥数据库文件。
收集QQ浏览器配置信息。
收集Discord信息。
收集NordVPN信息。
键盘记录和剪切板记录信息。
将收集到的信息保存为文本,通过SMTP上传到黑客服务器。
8087金沙娱场城产品解决方案
8087金沙娱场城病毒码版本16.467.60,云病毒码版本16.467.71,全球码版本16.469.00已经可以检测,请用户及时升级病毒码版本;
8087金沙娱场城 DS DPI检测规则如下:
1008746-Microsoft Office Memory Corruption Vulnerability(CVE-2017-11882)
8087金沙娱场城OSCE VP检测规则如下:
1008746 - Microsoft Office Memory Corruption Vulnerability (CVE-2017-11882)
安全建议
及时更新病毒码版本;
打开系统自动更新,并检测更新进行安装;
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中包含的链接;
请到正规网站或者应用商店下载程序;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
尽量关闭不必要的端口;
尽量关闭不必要的网络共享;
受影响的Office版本如下,请用户及时更新office或者打上补丁程序:
Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 2
Microsoft Office 2013 Service Pack 1
Microsoft Office 2016
IOCs