新闻链接：a0aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3y4o6j5&6y4e0k6Q4x3X3g2Z5N6r3#2D9
新闻时间： 2014-10-15
新闻正文：
明天发布补丁的windows 所有平台都可以触发的 OLE包管理INF 任意代码执行漏洞，CVE-2014-4114。该漏洞影响win vista,win7等以上操作系统，利用微软文档就可以触发该漏洞，而且该漏洞为逻辑漏洞，很容易利用成功。当前样本已经扩散且容易改造被黑客二次利用。预计微软补丁今晚凌晨才能出来，翰海源提醒用户在此期间注意不要打开陌生人发送的office文档。

该漏洞最先是从iSIGHT Partners厂商发布的公告上宣称发现了新的0day用于俄罗斯用在搞北约的APT攻击中，并命名SandWorm。
iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign。

样本为PPS 类型，打开之后自动播放直接触发利用成功。

从virustotal的链接来看，样本第一次的提交时间是在8月13号，已经在外面漂泊起码2个月以上，

Virustotal

样本一开始在virustotal上面所有的杀毒软件都检测不到，

该漏洞本身的载体文件无需任何shellcode、内嵌木马，若只基于检测这些点的扫描引擎、安全设备则无能为力。从这里也可以看出单纯的杀毒软件防护无法阻止高级威胁的0day样本攻击，必须从整个攻击的生命周期进行检测。世界上只有10种人，一种是知道自己被黑了，一种是不知道自己被黑了。

当然了，加特征还是可以的，比如2个小时左右，这不国内的2家死对头公司纷纷更新了规则，成了榜上的一对好基友，不过这个Generic总觉得哪里不对啊。

攻击样本解压之后可以看到embeddings\oleObject2.bin只包含一串webdav的路径
该路径为触发的核心

embeddings\oleObject1.bin 包含了具体马的路径

当前这个地址还是活的，不过只能通过vpn去连接，可以下载到里面的一些其他攻击文件

经过初步分析，该漏洞在加载OLE PACKAGE时，当遇到inf时，去调用
C:\Windows\System32\InfDefaultInstall.exe 去执行下载下来的inf文件。构造一个特定的inf，让其加载同目录文件，从而造成了远程任意代码执行。

该漏洞的利用可以结合7月28号 麦咖啡发的一篇blog
Dropping Files Into Temp Folder Raises Security Concerns
一起看。上面介绍到了一个rtf样本利用package activex control，在打开这个rtf文件时，会在当前用户的临时目录下创建任意名称指定内容的文件。麦咖啡也提到了这可能是一个潜在的风险，特定情况下会造成恶意代码的加载执行。
如果能随机化这个路径名，那么此次0day攻击中的样本通过inf的方式也比较难利用。

翰海源星云V2多维度威胁检测系统靠多个维度来检测高级威胁，此次攻击中虽然攻击样本本身很难检测到，但是其一系列的后续执行星云都可以检测到。如此次攻击中的slide1.gif 木马，星云系统的沙箱无需任何更新及可以检测到。

各位小伙伴可以查看文件B超上面的检测结果
d3aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1i4K6u0V1j5$3S2S2L8#2)9J5k6h3y4G2L8g2)9J5c8X3W2F1k6r3g2^5i4K6u0W2M7r3S2H3i4K6u0r3d9h3&6V1k6i4S2Q4x3V1k6K6K9r3!0%4i4K6g2X3k6r3g2@1j5h3W2D9i4K6u0r3f1$3S2S2x3g2)9J5c8U0j5I4b7e0k6p5y4U0p5^5b7V1t1K6x3e0p5K6z5e0g2p5x3p5c8n7x3@1p5#2y4U0V1&6b7e0q4m8b7U0b7I4y4V1p5K6z5f1b7^5y4f1t1`.

服务器上面其他的木马文件的检测结果 如 default.txt
2baK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1i4K6u0V1j5$3S2S2L8#2)9J5k6h3y4G2L8g2)9J5c8X3W2F1k6r3g2^5i4K6u0W2M7r3S2H3i4K6u0r3d9h3&6V1k6i4S2Q4x3V1k6K6K9r3!0%4i4K6g2X3k6r3g2@1j5h3W2D9i4K6u0r3f1$3S2S2x3g2)9J5c8U0c8p5y4o6x3K6y4p5k6r3x3o6f1@1y4e0M7I4y4@1t1K6b7f1c8o6x3e0j5#2b7f1t1$3y4K6b7^5c8p5y4q4z5o6t1H3z5e0S2p5z5e0M7`.
view.ph
726K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1i4K6u0V1j5$3S2S2L8#2)9J5k6h3y4G2L8g2)9J5c8X3W2F1k6r3g2^5i4K6u0W2M7r3S2H3i4K6u0r3d9h3&6V1k6i4S2Q4x3V1k6K6K9r3!0%4i4K6g2X3k6r3g2@1j5h3W2D9i4K6u0r3f1$3S2S2x3g2)9J5c8U0p5I4z5o6t1H3y4V1b7&6x3e0m8r3x3o6l9K6y4U0x3#2y4@1t1H3y4p5x3I4y4e0c8p5b7e0R3&6y4U0k6n7b7@1y4o6c8o6x3I4b7U0b7`.

同时该样本的攻击方式中也会命中星云系统的另一个检测算法（高级攻击中常用的，暂不透露啦）

同时翰海源安全团队也及时响应，发布了星云对该CVE的NDAY检测规则，该漏的的利用方式的样本通过该升级包升级之后也可以直接检测到。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课