خلفية
20 سبتمبر 2018، وجدت 360 مركز التهديد الاستخبارات حالة هجوم ضد كوريا الجنوبية مكتب Hancom تصميم معالجة النصوص البرمجيات عيب في تحليل العينات الروتيني وعملية تتبع عينة. وكشف تحليل مفصل أن العينة المشتبه بهم وتنظيم APT "المجموعة 123" تتعلق، واستخدام HWP عينة لم يتم الكشف عنها علنا الضعف مكتب Hancom إلى تنفيذ التعليمات البرمجية الخبيثة. 360 بعد GS تقدم تحليلا مفصلا للمراكز التهديد الاستخبارات قبل اكتشاف الضعف، وهو مكتب Hancom استخدام المصدر المفتوح غوستسكريبت (المشار إليها فيما يلي باسم GS) لم يتم استخدام حماية رمل بشكل صحيح عندما يكون المحرك سببه التعسفي حفرة ملف الكتابة.
360 قبل مركز الاستخبارات التهديد وجدت أن استرجاع صلة الضعف HWP المعروف لم يكن يشتبه علنا (لا مصدر ضعف وصفت أو تحليلها، أي الضعف CVE المعلومات ذات الصلة). لحسن الحظ، بسبب قضايا حقوق التأليف والنشر، أحدث نسخة من مكونات مفتوحة المصدر أزال GS HancomOffice تخفيف المشكلة في أحدث البرمجيات، ولكن مستخدمي الإصدارات القديمة لا تزال تتأثر، وعدد هؤلاء المستخدمين لا تزال كبيرة جدا.
وخارج ننشر هذا التقرير، وأثر مقتل هجوم ضد عينة فايروس توتال على النحو التالي، وأيضا مع قتل لينة خمسة فقط يمكن أن تحقق من سلوكهم الخبيثة:
مكتب Hancom
الاسم الكامل للHWP هانغول معالج النصوص، وهذا يعني هانغول برامج معالجة النصوص، بل هو المنتجات Hancom الشركة، والشركة هي تدعمها الحكومة شركة برمجيات في كوريا الجنوبية. جناح المكتب مكتب Hancom في كوريا تحظى بشعبية كبيرة ثيقة مكتب برامج معالجة، مع حصة أكثر من 75 من السوق.
Hancom الحاضر، وخطوط منتجات الشركة اثنين، واحد هو مكتب Hancom، والآخر هو ThinkFree مكتب. مكتب Hancom داخل جناح يتكون أساسا HanCell (على غرار مايكروسوفت إكسل)، HanShow (على غرار مايكروسوفت باور بوينت)، HanWord (أي، HWP، على غرار مايكروسوفت أوفيس وورد) وهلم جرا.
عندما كنت امر لغة واجهة ذهب اللغة الإنجليزية في موقعه الرسمي على الانترنت متاح في اثنين من لغات (الإنجليزية والكورية) لزيارة الموقع، شريطة مركز التحميل لها فقط مجموعة ThinkFree مكتب المنتجات، في حين لغة واجهة الكورية لزيارة عندما مركز تحميل المقدمة في غير Hancom منتجات Office، يمكن أن ينظر إليه شركة Hancom لمنتجات Office Hancom والمحلية أو دفع الرئيسي، لبلدان أخرى غير الكوريتين دفع سلسلة ThinkFree مكتب من المنتجات:
HWP تحليل هشاشة الأوضاع غير معلوم
360 مركز تحليل التهديدات الاستخبارات في العملية برمتها من نقاط الضعف غير معلنة HWP هي كما يلي.
تأثير استخدام
استخدام HancomOffice HWP 2014 (9.0.0.1086) مثبتة في جلسة مفتوحة بيئة للقبض على وثيقة HWP الخبيثة، المعلومات التالية هي إصدار Office Hancom:
سوف HWP عينة تقم أبدا بفتح أي رسالة مربع للملوثات العضوية الثابتة، لن يكون هناك أي كيتون، ستفرج السيناريو الخبيثة UpgradeVer45.bat الصمت في دليل بدء التشغيل للمستخدم الحالي والافراج عن Dhh01.oju01 وDhh02.oju01 في دليل APPDATA الملف، كما هو مبين أدناه:
من خلال تحليل سلوك العمليات يمكن العثور عليها، وهذا هو في الواقع مكتب Hancom يأتي برنامج gbb.exe وتنفيذ عملية للافراج عن ملف الخبيثة:
ويطلق على HancomOffice حقيقة gbb.exe لتجهيز شيل ملفات HWP EPS جزءا لا يتجزأ في جوهرها مفتوحة المصدر غوستسكريبت (المشار إليها فيما يلي باسم GS) مكونات gsdll32.dll إلى مقبض EPS النصي:
يتم تنفيذ gbb.exe EPS سطر الأوامر ملف تحليل على النحو التالي:
لذا من المرجح أن تحقيق الافراج عن الملفات الخبيثة التي تؤدي الى الضعف النصي EPS جزءا لا يتجزأ من العينة HWP الخبيثة. لاختبار هذه الفكرة بعد استخراج 360 التهديد مركز المخابرات الباحثين EPS ملف ملف HWP باستخدام HWP يأتي EPS برنامج التحليل النصي لمحاكاة gbb.exe Hancom مكتب يوزع النصي (على مر gbb.exe وHancom مكتب نفس القائمة حجة عند تحليل النصي ملفات EPS)، ويمكن تحقيق نفس التأثير (مكتوبة عناصر بدء التشغيل ويندوز النصي الخبيثة):
تحليل هشاشة الأوضاع
منذ تبين أن العينة هي استخدام الخبيثة الضعف عزم HWP المتعلقة بالإفراج عن السيناريو الخبيثة EPS ملف، ثم يمكننا العثور على أسباب الضعف من خلال تحليل متعمق قامت EPS ملف نصي HWP.
EPS / PS، بوستسكريبت ومشروع غوستسكريبت
قبل تحليل الضعف، فإننا بحاجة إلى معرفة بعض المعلومات عن EPS / PS ومشروع بوستسكريبت وغوستسكريبت.
1. EPS (مغلف المشاركة سكريبت)
EPS هو اختصار مغلف المشاركة السيناريو، طابعة مخصصة وصف اللغة التي يمكن أن تصف المعلومات متجه ومعلومات الصورة النقطية، الدعم عبر منصة. هو تنسيق شامل بين تنسيق تبادل الشائعة التي يشيع استخدامها في النشر المكتبي. EPS / تنسيق ملف PS PS يعرف أيضا باسم تنسيق ملف مع صورة المعاينة، وهو ملف نصي وممثل عن لغة بوستسكريبت (اختياري) دقة منخفضة PICT أو TIFF صفها تكوين الصورة. التي، بوستسكريبت هو الصور المطبوعة والنص يستخدم لوصف لغة البرمجة، وتوفر لغة البرمجة واجهة برمجة تطبيقات غنية، بما في ذلك ميزات مثل قراءة الملف والكتابة:
مشروع 2. غوستسكريبت
مشروع غوستسكريبت هو المشاركة سيناريو البرمجيات لغة مترجم. قد نكون بصدد لغة بوست سكريبت التي تدعم مشاركة وسيناريو وتحويل PDF بعضها البعض. وبعبارة أخرى، فإن المشروع يمكن أن تحل EPS المقدمة ملفات الصور. وهانغول هو استخدام هذا المصدر المفتوح يدعم مشروع EPS تقديم الملف.
HWP النصي لاستخراج EPS
HWP ليتم تحليلها في EPS النصي، EPS احتياجات النصي سيتم استخراج. في حين أن HWP هو أساسا OLE ملف مستند المركب، EPS يتم تخزين ملف تيار مركب كملف في HWP، الأدوات الموجودة يمكن استخدام oletools، StructuredStorage إكسبلورر، المنظم أدوات عارض التخزين مثل عرض واستخراج، والآثار التالية هي عرض StructuredStorage إكسبلورر أداة من FIG. :
يتم تخزين الملف HWP معظم التدفق من خلال ضغط يدحض zlibraw، EPS تدفق ليست استثناء. EPS يمكن ضغط ملف تيار من الحلول بيثون HWP الخبيثة، على النحو التالي:
ما يلي هو مضمون ملفات EPS الخبيثة بعد تفريغ:
EPS التحليل النصي الخبيثة
وظائف بوستسكريبت النصي الخبيثة بعد استخراج تحليلها كما يلي:
1 تعليق السلوك كود مما يدل على استخدام أدوبي 3.0، EPSF-3.0 المعيار. ويعرف 3-8 خط وظيفة catme سلسلة سلسلة، على غرار لغة C وظيفة strcat. خط 10 للحصول على APPDATA متغير البيئة وتخزينها في envstr متغير في. السطر 11 استخدامات ملف مسار catme خياطة وظيفة وتخزينها في path1 متغير. 12، 13، 11 مع خط يعني الخط. خط 14 استخدامات الطريق الكتابة إلى فتح APPDATA \ قائمة مايكروسوفت \ ويندوز \ البدء ملف \ البرامج \ بدء التشغيل \ UpgradeVer45.bat ويتم تخزين مقبض الملف في المتغيرات في FILE1. سلسلة 15 الصفوف الأولى "نسخة / ب ... WinUpdate148399843.pif" مكتوبة في path1. خط 16 FILE1 مغلقة. خط 17 مفتوحا للكتابة APPDATA \ ملف Dhh01.oju01. هو مكتوب خط 18 إلى تحديد رأس PE MZ APPDATA \ ملف Dhh01.oju01. في 19-36 الصفوف الأولى وراء سلسلة عشري إلى الملف APPDATA \ Dhh02.oju01.
الاستخدام غير الصحيح لغوستسكريبت توفر الضعف رمل الحماية لإرسال الملفات التعسفي
ويمكننا أن نرى السيناريو بأكمله وEPS ليس لديهم أي نقاط الضعف المعروفة المعلومات ذات الصلة، وكتابة وظائف البرنامج النصي مباشرة إلى ملفات خبيثة لعناصر في بدء التشغيل ويندوز، والتي من الواضح خروجا عن وظيفة طبيعية من مجموعة من النصي تحليل الصور.
بعد نقرأ وصفا غوستسكريبت عثور على المكونات مفتوحة المصدر، غوستسكريبت يقدم في الواقع معلمة المسمى "-dSAFER" لعملية حل EPS النصي في تنفيذ رمل آمن، مثل لمنع أي نوع من الملفات إلى الكتابة عملية عالية المخاطر تحدث.
ومكتب Hancom عند تحليل ملف ملف HWP EPS تضمنت دعوات gbb.exe تحت دليل التثبيت الخاص به. gbb.exe الداخلية تدعو في نهاية المطاف غوستسكريبت مكونات مفتوحة المصدر gsdll32.dll نفس الدليل على تحليل وعرض EPS الصور:
يمكنك أن ترى بوضوح، لا يتم استخدام Hancom مكتب -dSAFER المعلمة في استدعاء إجراء غوستسكريبت مكونات مفتوحة المصدر، مما يجعل EPS عملية تحليل لا يتم تنفيذ في رمل، مما يعني أن جميع عمليات مخطوطات بوستسكريبت هي في العالم الحقيقي. هذا بطبيعة الحال يؤدي إلى مكتب Hancom تسمح ملف وEPS لتنفيذ كتابة السيناريو التعسفية.
عند هذه النقطة، يمكننا أن نحدد بوضوح التعرض للرمل لمكتب Hancom ليس الاستخدام السليم للغوستسكريبت (EPS حل مكونات مفتوحة المصدر) توفير الحماية مما أدى إلى التعسفي حفرة ملف الكتابة.
360 الأمن وسط تهديد الباحث المخابرات لحل ملفات EPS الخبيثة الاتصال يدويا gswin32.exe (EPS تحليل نصي التي تقدمها غوستسكريبت قذيفة)، والمعلمات -dSAFER المضافة، ثم gswin32.exe موجه "invalidfileaccess"، وهذا ليس ملف يمكن كتابتها إلى القرص (الكتابة فشل عناصر بدء التشغيل، والتي ثبت أيضا من الأسباب السلبية لضعف). FIG يلي:
إصدارات البرامج المتأثرة
قبل وضع نظرية مايو 2017 لدعم EPS النصي تحليل البرامج المكتبية Hancom تتأثر الضعف.
نقاط الضعف الجدول الزمني
حتى الآن، كان خط الانتاج مكتب هانغول الكثير من الإصدارات من فرع، وعلى الأقل في هانغول 2010 على إدخال مكونات مفتوحة المصدر لتحليل الملفات غوستسكريبت EPS. وفقا لويكيبيديا المعلومات: مايو 2017 بسبب خط الانتاج مكتب هانغول دون استخدام مكونات مفتوحة المصدر غوستسكريبت، وانتهاك غوستسكريبت بروتوكول مفتوحة المصدر GUN GPL، وطلب لفتح شفرة المصدر لمنتجاتها.
في ضوء ذلك قضايا حق المؤلف، إزالة هانغول في الإصدارات اللاحقة من مكونات مفتوحة المصدر غوستسكريبت هانغول NEO (2016) في. وفي آخر تحديث اختبرنا هانغول عام 2014، تمت إزالة الإصدار القديم من مكونات مفتوحة المصدر غوستسكريبت، الذي يلغي تمويه الضعف الخفية.
تحليل عينة الحمولة الخبيثة
وثيقة يستغل
وتحت عنوان وثيقة مآثر "7 .hwp (7 دورة من الثقة والرعاية AC)."
يقرأ الوثيقة على النحو التالي:
سيتم الافراج عنهم بعد نجح في استغلال في بدء التشغيل دليل المستخدم الحالي UpgradeVer45.bat النصي، والافراج عن ملف Dhh01.oju01 وDhh02.oju01 تحت APPDATA الدليل، عند العودة تسجيل دخول المستخدم، سيتم اطلاق سراح المقبل UpgradeVer45.bat APPDATA الدليل الملفين في ملف وWinUpdate148399843.pif.
WinUpdate148399843.pif
ملف WinUpdate148399843.pif هو ملف PE، الملف باستخدام تعبئة Themida:
بعد قصف باستخدام التحليل النصي OD، بعد أن يتم الكشف عن العينة أولا مسار تنفيذ عملية يحتوي على "WinUpdate" (العينة نفسها تحتوي على الاسم)، وإذا كان للخروج:
هناك ملف "UpgradeVer" في بداية المشروع، وبالتالي كشف ويبدأ تسجيل
سوف عينة كشف مكافحة التصحيح:
وفي وقت لاحق، سوف العينة أداء SYSTEM32 sort.exe البرنامج على العنوان التالي:
بعد استخدام WriteProcessMemory، وضخ RtlCreateUserThread بعض كود القشرة تنفيذ sort.exe:
كود القشرة
سيتم ضخها أول كود القشرة في حالة التصحيح من خلال الكشف IsDebuggerPresent:
و"E2F9FC8F" حصرية أو فك تشفير ملف PE آخر:
آخر عملية إعدام الذاكرة PE فك ملف:
ROKRAT
ملف PE النهائي هو فك شفرة التحكم عن بعد حصان طروادة ROKRAT الأسرة، وأحصنة طروادة والحصول على اسم الكمبيوتر واسم المستخدم، وتحديد نوع الكمبيوتر SMBIOS:
ثم رمل سيكون تنفيذ الرصد البيئي:
إذا كان وجود "C: \ PROGRAMFILES \ وير \ إم وير أدوات \ vmtoolsd.exe" ستتم كتابة المسار إلى MBR "FAAAA ... حزينة ..." سلسلة:
بعد كتابة الأمر إعادة تشغيل اغلاق جهاز الكمبيوتر:
فتح الشاشة بعد إعادة التشغيل:
إذا لم يتم الكشف عن عينة البيئة رمل التشغيل، اتبع سيتم تنفيذ الوظيفة الرئيسية، بما في ذلك اتخاذ لقطة:
وتحميل البيانات عبر شبكة القرص، وسيتم بناء شبكة القرص APIKey في بيانات عينة. وفيما يلي يبين الشكل المعلومات المستخرجة من السلسلة، وعينة تدعو القرص الشبكة أربعة التيار الأجانب عبر API تشمل: pcloud، مربع، المنسدل، ياندكس
KEY API التي حصل عليها فك التشفير، فك التشفير وظيفة على النحو التالي:
محاولة تحميل البيانات إلى القرص الشبكة:
الأصل وما يرتبط بها
360 مركز الاستخبارات التهديد ذات الصلة من خلال الاستخبارات التهديد الداخلي والاستخبارات منصة مفتوحة، وجدت أن هجوم يشتبه أن يكون تنظيم APT "المجموعة 123" هي جمعية تقوم على ما يلي:
وقد استخدمت المجموعة 123 العصابات في عدد من الأنشطة ROKRAT:
ومارس 2017 وسوف تستخدم عينة من الهجمات لتحديد متى في بيئة الجهاز الظاهري، سوف نكتب سلسلة "هل أنت سعيد" إلى MBR، ولكن في هذا الحدث، على غرار MBR مكتوبة سلسلة "FAAAA ... حزين ...":
جزء التعليمات البرمجية عينة والقت القبض قبل ومتسقة، نختار هنا المجموعة ROKRAT 123 التي تم استخدامها (MD5: bedc4b9f39dcc0907f8645db1acce59e) وتمت مقارنة، كما رأينا في FIG، هيكل كود هو في الأساس نفسه:
ملخص
360 الأسباب الجذرية للمراكز التهديد ذكاء هذا التحليل الضعف HWP مكتب هانغول ليست معقولة في محركات GS استخدام وظيفة رمل عند تحليل النصي بوستسكريبت، وتجاهل الخيار رمل -dSAFER من. في هذه الحالة، يحتاج المهاجم فقط على البرامج الخبيثة كتبه بوستسكريبت النصي لبدء التشغيل العناصر أو غيرها من مسار النظام اختطاف، عند إعادة تشغيل المستخدم في نظام التشغيل لتحقيق الغرض من الاختطاف أو يؤدي تنفيذ التعليمات البرمجية الخبيثة. وعلى الرغم من نقاط الضعف ذات الصلة في أحدث إصدار من برنامج مكتب Hancom لم تعد موجودة، ولكن لا يزال هناك الكثير من المستخدمين السن يتعرض لهذا الضعف تأثير مقتل تجنب هو جيد جدا، وأداة فعالة لتنفيذ الغزو الهجمات المستهدفة، 360 التهديدات مركز الاستخبارات لتذكير خطر هذه الهجمات عن طريق ورقة للجمهور على اتخاذ التدابير الوقائية اللازمة.
اللجنة الأولمبية الدولية
تفسير MD5 وثيقة HWP 3f92afe96b4cfd41f512166c691197b5 UpgradeVer45.bat 726ef3c8df210b1536dbd54a5a1c74df Dhh01.oju01 ac6ad5d9b99757c3a878f2d275ace198 Dhh02.oju02 d3f076133f5f72b9d1a55f649048b42d WinUpdate148399843.pif 6ec89edfffdb221a1edbc9852a9a567a ROKRAT 7a751874ea5f9c95e8f0550a0b93902d تحكم عن بعد
إشارة
.https: //blog.talosintelligence.com/2018/01/korea-in-crosshairs.html
.https: //ti.360.net/blog/articles/analysis-of-cve-2018-4878/
.https :؟ //Zenhax.com/viewtopic.php و = 4 & ر = 1051
.https: //en.wikipedia.org/wiki/HancomOffice_ (word_processor)
.https: //en.wikipedia.org/wiki/Hancom
.https: //hancom.com
* المؤلف: 360 عين السماء المختبر، يرجى تحديد مستنسخة من FreeBuf.COM
