[原创]CVE-2014-4114 SandWorm 沙虫漏洞分析报告-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]CVE-2014-4114 SandWorm 沙虫漏洞分析报告

发表于: 2014-10-20 10:16 9438

[原创]CVE-2014-4114 SandWorm 沙虫漏洞分析报告

shineast

2014-10-20 10:16

9438

查看主题内容

收藏・31

免费・3

支持

最新回复 (59) ◀ 1 2 3 ▶
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 26 楼特来支持！ 2014-10-21 18:51 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 27 楼就是临时目录啊。在win7下，就是 C:\Users\{username}\AppData\Local\Temp 2014-10-21 18:54 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 28 楼发现TEMP没有，难道是我的样本不对吗或是没有搭建服务器之类的？样本的hash：70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aaf 我运行样本后，程序直接崩溃了。 Packager.dll的一个函数将这两个文件从网络上下载下来并保存在临时目录中，该函数是CPackage::OLE2MPlayerReadFromStream，用什么工具查看这个函数？上传的附件：搜狗截图20141021204954.png （95.41kb，4次下载） 2014-10-21 21:00 0
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 47 粉丝 0 关注私信	黑殇 29 楼话说这个\\94.185.85.122\public\slides.inf是UNC路径的话是怎么做到在外网下载的，求大腿解释 2014-10-21 21:33 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 30 楼当然是用IDA啦 2014-10-22 09:53 0
wmg 雪币： 69 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	wmg 31 楼好东西，，多谢分享... 2014-10-22 10:41 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 32 楼哦哦，好，我试试，多谢，另外要往这个漏洞里注入东西应该怎么做，像弹出会话框之类的。 2014-10-22 13:35 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 33 楼直接改嵌入对象的地址，攻击是不是就不能执行了？ 2014-10-22 20:23 0
fighter 雪币： 207 活跃值： (351) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	fighter 34 楼卡饭没有权限，能不能直接发个附件呢，非常感谢 2014-10-23 08:42 0
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 47 粉丝 0 关注私信	黑殇 35 楼楼主分析里说的自己生成的PPT里的slide1.xml，为什么添上了少的那几条语句，PPT第一页直接损坏了呢 2014-10-23 11:15 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 36 楼我看了翰海源和安天的分析,有个关键的地方没弄明白,为什么都要说\\x.x.x.x\xx.inf这个文件的地址是WEBDAV地址,我看明明只能是UNC地址的.这对攻击的场景还是有很大关系的. 2014-10-23 16:08 0
isno 雪币： 358 活跃值： (63) 能力值： ( LV8，RANK：130 ) 在线值：发帖 3 回帖 27 粉丝 1 关注私信	isno 3 37 楼 http://blog.xecure-lab.com/2014/10/cve-2014-4114-pptx-apt-xecure-lab.html 现在有不需要远程下载，直接把exe内嵌在pptx里的了。不过这个CompObj stream我没搞明白怎么用，谁有内嵌版的样本啊？ 2014-10-23 19:05 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 38 楼打开的时候咋个还是有个提示哦。 2014-10-23 19:29 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 39 楼我传一下我下载的样本，不会调这个漏洞，求助！！！上传的附件： 70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aaf.rar （95.04kb，26次下载） 2014-10-24 13:52 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 40 楼改IP后，文件就损坏了，不能执行了，要怎么改这个IP？ 2014-10-24 14:09 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 41 楼是PPS格式的一个样本。上传的附件： 70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aaf.rar （95.04kb，19次下载） 2014-10-24 14:38 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 42 楼你妹的。。。。楼主这个洞你还是没分析完全哈。除了VERB这儿还有个关键地方。 2014-10-24 20:36 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 43 楼总结了一下关键要点远程利用方式: 两个要点: 1.要修改CMD为3,也就是执行右键菜单的第二项,执行第一项也就默认的打开是有提示的. 2.要修改OLE对象的CLSID为{00022602-0000-0000-C000-000000000046},这样在实际数据中才能以UNC路径(注意不是WEBDAV)方式引用INF文件,同时可以跳过下载文件提示（makefileunsafe）,因为程序把UNC路径当成的本地文件! ----------- 本地利用方式: 1.修改CMD同上 2.本地方式只能绑EXE,本地方式不能跳过下载文件提示,但是如果是绑EXE（菜单项第二项为以管理员方式运行）,如果有UAC则提示UAC,如果没有UAC则EXE可直接运行! ----------- 结论：比较鸡肋的漏洞！ 2014-10-25 00:56 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 44 楼现在把public目录下的东西放在自己的主机上了（之前的链接已经失效了），然后把地址改为自己主机的位置了，但是把样本修改后就无法运行了，不知道什么原因，求大神指导。 2014-10-25 15:12 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 45 楼要重新打包。用WINRAR就可以 2014-10-25 17:58 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 46 楼 WINRAR是哪个版本的，试了好几个压缩软件都不行，压缩回去就打不开了。 2014-10-25 18:49 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 47 楼我传一个我修改对象地址后的压缩包，麻烦帮我看看怎么才能运行。谢谢！！！上传的附件： spiskideputatovdone-140813035740-phpapp02.ppsx.rar （102.84kb，6次下载） 2014-10-25 19:23 0
benteng 雪币： 361 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 55 粉丝 0 关注私信	benteng 48 楼我把卡饭的引用过来了。上传的附件： public.zip （304.46kb，20次下载） 2014-10-25 20:15 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 49 楼这东西，从资源管控角度讲，office系列软件是不该生成exe文件的，一旦生成，直接拦截并报警，一样可以起到防御效果，不过某些喜欢搞所谓技术流的，这么高深的玩玩倒也可以 2014-10-25 20:43 0
天晗雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	天晗 50 楼新人菜鸟求教，为什么我打不开修改后的ppt提示：无法打开演示文稿。防病毒程序可能阻止您打开此演示文稿。若要解决此问题，请确保防病毒程序为最新版本并且运行正常。如果问题仍然存在，并且该演示文稿来自您信任的人员，请关闭防病毒程序，然后重新尝试打开演示文稿。如果执行此操作，则在打开了演示文稿之后，请务必重新打开防病毒软件。但是我虚拟机上没有杀毒软件，防火墙关了也不行，我用的是office2010 2014-10-26 11:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

shineast

发帖

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (59) ◀ 1 2 3 ▶
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 26 楼特来支持！ 2014-10-21 18:51 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 27 楼就是临时目录啊。在win7下，就是 C:\Users\{username}\AppData\Local\Temp 2014-10-21 18:54 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 28 楼发现TEMP没有，难道是我的样本不对吗或是没有搭建服务器之类的？样本的hash：70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aaf 我运行样本后，程序直接崩溃了。 Packager.dll的一个函数将这两个文件从网络上下载下来并保存在临时目录中，该函数是CPackage::OLE2MPlayerReadFromStream，用什么工具查看这个函数？上传的附件：搜狗截图20141021204954.png （95.41kb，4次下载） 2014-10-21 21:00 0
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 47 粉丝 0 关注私信	黑殇 29 楼话说这个\\94.185.85.122\public\slides.inf是UNC路径的话是怎么做到在外网下载的，求大腿解释 2014-10-21 21:33 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 30 楼当然是用IDA啦 2014-10-22 09:53 0
wmg 雪币： 69 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	wmg 31 楼好东西，，多谢分享... 2014-10-22 10:41 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 32 楼哦哦，好，我试试，多谢，另外要往这个漏洞里注入东西应该怎么做，像弹出会话框之类的。 2014-10-22 13:35 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 33 楼直接改嵌入对象的地址，攻击是不是就不能执行了？ 2014-10-22 20:23 0
fighter 雪币： 207 活跃值： (351) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	fighter 34 楼卡饭没有权限，能不能直接发个附件呢，非常感谢 2014-10-23 08:42 0
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 47 粉丝 0 关注私信	黑殇 35 楼楼主分析里说的自己生成的PPT里的slide1.xml，为什么添上了少的那几条语句，PPT第一页直接损坏了呢 2014-10-23 11:15 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 36 楼我看了翰海源和安天的分析,有个关键的地方没弄明白,为什么都要说\\x.x.x.x\xx.inf这个文件的地址是WEBDAV地址,我看明明只能是UNC地址的.这对攻击的场景还是有很大关系的. 2014-10-23 16:08 0
isno 雪币： 358 活跃值： (63) 能力值： ( LV8，RANK：130 ) 在线值：发帖 3 回帖 27 粉丝 1 关注私信	isno 3 37 楼 http://blog.xecure-lab.com/2014/10/cve-2014-4114-pptx-apt-xecure-lab.html 现在有不需要远程下载，直接把exe内嵌在pptx里的了。不过这个CompObj stream我没搞明白怎么用，谁有内嵌版的样本啊？ 2014-10-23 19:05 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 38 楼打开的时候咋个还是有个提示哦。 2014-10-23 19:29 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 39 楼我传一下我下载的样本，不会调这个漏洞，求助！！！上传的附件： 70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aaf.rar （95.04kb，26次下载） 2014-10-24 13:52 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 40 楼改IP后，文件就损坏了，不能执行了，要怎么改这个IP？ 2014-10-24 14:09 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 41 楼是PPS格式的一个样本。上传的附件： 70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aaf.rar （95.04kb，19次下载） 2014-10-24 14:38 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 42 楼你妹的。。。。楼主这个洞你还是没分析完全哈。除了VERB这儿还有个关键地方。 2014-10-24 20:36 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 43 楼总结了一下关键要点远程利用方式: 两个要点: 1.要修改CMD为3,也就是执行右键菜单的第二项,执行第一项也就默认的打开是有提示的. 2.要修改OLE对象的CLSID为{00022602-0000-0000-C000-000000000046},这样在实际数据中才能以UNC路径(注意不是WEBDAV)方式引用INF文件,同时可以跳过下载文件提示（makefileunsafe）,因为程序把UNC路径当成的本地文件! ----------- 本地利用方式: 1.修改CMD同上 2.本地方式只能绑EXE,本地方式不能跳过下载文件提示,但是如果是绑EXE（菜单项第二项为以管理员方式运行）,如果有UAC则提示UAC,如果没有UAC则EXE可直接运行! ----------- 结论：比较鸡肋的漏洞！ 2014-10-25 00:56 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 44 楼现在把public目录下的东西放在自己的主机上了（之前的链接已经失效了），然后把地址改为自己主机的位置了，但是把样本修改后就无法运行了，不知道什么原因，求大神指导。 2014-10-25 15:12 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 45 楼要重新打包。用WINRAR就可以 2014-10-25 17:58 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 46 楼 WINRAR是哪个版本的，试了好几个压缩软件都不行，压缩回去就打不开了。 2014-10-25 18:49 0
碧水镜影雪币： 10 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 64 粉丝 0 关注私信	碧水镜影 47 楼我传一个我修改对象地址后的压缩包，麻烦帮我看看怎么才能运行。谢谢！！！上传的附件： spiskideputatovdone-140813035740-phpapp02.ppsx.rar （102.84kb，6次下载） 2014-10-25 19:23 0
benteng 雪币： 361 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 55 粉丝 0 关注私信	benteng 48 楼我把卡饭的引用过来了。上传的附件： public.zip （304.46kb，20次下载） 2014-10-25 20:15 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 49 楼这东西，从资源管控角度讲，office系列软件是不该生成exe文件的，一旦生成，直接拦截并报警，一样可以起到防御效果，不过某些喜欢搞所谓技术流的，这么高深的玩玩倒也可以 2014-10-25 20:43 0
天晗雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	天晗 50 楼新人菜鸟求教，为什么我打不开修改后的ppt提示：无法打开演示文稿。防病毒程序可能阻止您打开此演示文稿。若要解决此问题，请确保防病毒程序为最新版本并且运行正常。如果问题仍然存在，并且该演示文稿来自您信任的人员，请关闭防病毒程序，然后重新尝试打开演示文稿。如果执行此操作，则在打开了演示文稿之后，请务必重新打开防病毒软件。但是我虚拟机上没有杀毒软件，防火墙关了也不行，我用的是office2010 2014-10-26 11:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复