pátek 25. května 2012

Speciálně vytvořený. HWP soubor používaný pro korejské kampaně cílené


Před několika týdny jsme byli upozorněni našimi kolegy z Koreje do speciálně vytvořeného dokumentu aplikace Word Processor Hangul písm. HWP), která využívá aplikace chybu zabezpečení v aplikaci Office Hancom software zpracování textu. . Příponu souboru HWP je populární korejský textový procesor, formát souboru - ten správný formát pro cílení korejské potenciální oběti, což může být případ.
Detekován jako TROJ_MDROP.ZD tento speciálně vytvořený dokument přišel jako přílohu e-mailu, který používal v poslední době případ vraždy v Koreji jako sociální inženýrství trik. E-mail byl odeslán k četným zaměstnancům prominentní korejské společnosti.
Po otevření škodlivý přílohu, TROJ_MDROP.ZD využívá stále neznámé zranitelnosti s cílem odstranit a provést backdoor BKDR_VISEL.FO na pozadí. Tento backdoor poskytuje vzdálený přístup k potenciálním útočníkem, který může provádět škodlivé rutiny na infikovaný počítač. Na základě naší analýzy, BKDR_VISEL.FO také ukončí procesy spojené s konkrétními antivirových programů, takže jeho detekce a odstranění obtížné. Backdoor také stahuje a spouští další škodlivé soubory, takže ohrožena systém citlivý na další infekci a odcizení dat.
Po popravě, TROJ_MDROP.ZD nahradí se s non-škodlivý. Dokumentu HWP, aby se uživateli zabránit podezření z jakékoli škodlivou činnost. Tento dokument obsahuje následující vějička korejský text:
Recon pro budoucí útoky
Soudě podle profilu cílové společnosti, může být úspěšný infekce vést k masové krádeže osobních údajů svých zákazníků. Přidejte k tomu, že. HWP je korejský vlády de facto standard wordprocessor formát, co lze vidět nyní je průzkumná fáze budoucnosti, větší, regionální útok.
Díky tomuto incidentu, můžeme být svědky útočníky postupně využívajících chyb v místní aplikace. Hancom úřad také není první svého druhu, aby mohly být zneužívány útočníky. Již dříve jsme ohlásil případ kde uživatelé se zlými úmysly zneužíval zranitelných míst nalezené v japonském jazyce textový procesor Ichitaro . Úspěšném zneužití vedou k instalaci backdoor. Oba případy dokazují, že použití regionální software nezaručuje nepřítomnost malware útoků. V tomto případě Textový procesor prodejce, který přijal zvláštní modul třetí strany, které mohou být obsažené zranitelnosti, musí věnovat pozornost informacím CVE průmyslu příliš a připravte se na aktualizaci.
To vyzdvihuje význam bezpečnosti, speciálně pro organizace, jejichž služby patří ukládání informací o zákaznících.Úspěšný kompromis, na organizaci nejen staví své zákazníky v ohrožení, ale také snadno zakalí jejich pověst.Naštěstí v tomto případě byly správné kroky ke zmírnění vykonán okamžitě. Musíme však zůstat ostražití, neboť to není naposledy, co budeme svědky hrozeb tohoto druhu.
Trend Micro chrání uživatele před touto hrozbou pomocí Trend Micro Smart Protection Network ™, který detekuje a odstraňuje související malware. Je také blokuje související zprávy a brání i dosažení schránek uživatelů.
Budeme aktualizovat blogu jakmile dostaneme další podrobnosti o uvedené zranitelnosti.
S dalšími poznatky z Thomas Park
Aktualizace v květnu 25, 2012 3:23 am PST
Na základě naší analýzy, TROJ_MDROP.ZD spouští přetečení vyrovnávací paměti, která vychází z plug-in souboru HNCTextArt.hplg, který HWP.EXE používá pro zpracování souborů HWP. HNCTextArt.hplg obsahuje kód, který zkopíruje celou řetězec znaků, včetně nulové ukončení charakteru, od zdroje k cíli. Zdrojový řetězec musí obsahovat nulový znak ukončena. V případě tohoto škodlivého souboru HWP, široká řetězec znaků kopírování neobsahuje řekl null ukončen charakter, což v nekonečné smyčce.
Z tohoto důvodu HNCTestArt.hplg zkopíruje data, dokud výjimce. To spustí škodlivý kód shell uvnitř škodlivého souboru HWP. Řekl kód dešifruje, kapky, a provede soubor PE a non-škodlivý HWP soubor, který slouží jako návnada.

Žádné komentáře:

Okomentovat