July | 2017 | 0day in {REA

July 2017
M	T	W	T	F	S	S
« May		Oct »
	1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31

Archive for July, 2017

Just another CVE-2017-0199 sample in the wild world!

Posted: July 10, 2017 in Just another CVE-2017-0199 sample in the wild world!, Uncategorized
Tags: CVE-2017-0199, malware, RTF

Đợt rồi lọ mọ kiếm sample phục vụ cho một project nhỏ của mấy anh em trong team VReT, vô tình “nhặt” được một sample cũng hay hay, do:

Có nội dung liên quan chính trị, khả năng sử dụng để targeted attacks.
Áp dụng CVE-2017-0199 để lây nhiễm mã độc lên máy nạn nhân.

Hash của sample: 7b65b7f4678e9b915640d41d38151621076d4f539b677b0e3f98971547d68fd0

Dùng file/ Trid để kiểm tra thông tin sample (để khẳng định chắc chắn nó là định dạng RTF):

Fig 1

Fig 2

Thử chuyển đổi sang định dạng PDF để xem qua nội dung:

Fig 3

Đọc thấy nội dung chuẩn bị có vẻ công phu lắm… 107

Hiện nay, có hai công cụ của hai chuyên gia nổi tiếng dùng để phân tích file có định dạng RTF là:

rtfdump của Didier Stevens (link: https://blog.didierstevens.com/2017/02/25/update-rtfdump-py-version-0-0-5/)
rtfobj (thuộc bộ công cụ oletools) của Philippe Lagadec (link: https://github.com/decalage2/oletools/wiki/rtfobj)

Sử dụng rtfdump, sau khi parse file, công cụ phát hiện có object data được nhúng tại vị trí 1201:

Fig 4

Tiếp tục dùng rtfdump, lựa chọn vị trí 1201 để dump, thêm tùy chọn –H để decode và xem dưới dạng hexa, -i để in ra các thông tin liên quan tới object tại vị trí được lựa chọn:

Fig 5

Theo thông tin thì object được nhúng có định dạng là OLE file:

Fig 6

Sử dụng tùy chọn –d để dump, ta có được thông tin:

Fig 7

Như vậy, khi mở tài liệu này nó sẽ tự động kết nối và download một tập tin khác tại hxxps://cdn-gmirror.appspot.com/template.rtf. Thử download tập tin template.rtf (tính đến thời điểm viết bài):

Fig 8

Kiểm tra file vừa tải về, trid báo unknown còn file báo định dạng là HTML chứ không phải là RTF:

Fig 9

Mở file bằng một trình Text Editor, thấy đây là một VBScript, thực hiện việc gọi powershell để download file tại hxxps://tp-qbm.appspot.com/icon.png và lưu với tên là unikey.exe tại hai thư mục là “%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup” và “%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup”:

Fig 10

Thử download file tại hxxps://tp-qbm.appspot.com/icon.png, tính đến thời điểm viết bài thì file này không còn nữa:

Fig 11

End.

m4n0w4r

	kienmanowar on OllyDbg_tut32
	john on REVERSING WITH IDA FROM SCRATC…
	Nguyen Quoc Trung on OllyDbg_tut32
	Gia Khang Lâm on REVERSING WITH IDA FROM SCRATC…
	administrastors on REVERSING WITH IDA FROM SCRATC…

0day in {REA_TEAM}

Lịch

Tìm kiếm

Recent Posts – Bài mới

Bình luận gần nhất

Pages

Chuyên mục

peonimusha Bl0g

Top Posts

Các bài đã đăng

Blogroll

Statistics - Lượt truy cập

Archive for July, 2017

Just another CVE-2017-0199 sample in the wild world!