新式PPT進犯流程
FortiGuard 實驗室最近發現了一種新的歹意PPT文件，名為ADVANCED DIPLOMATIC PROTOCOL AND ETIQUETTE SUMMIT.ppsx，閱讀幻燈片能夠發現該歹意文件針對的目標為聯合國組織、交際使館、國際組織及與他國政府有交往的人，我們將會剖析此歹意PPT文件會如何操控你的體系，以下是大約的進犯流程。

圖1 進犯流程圖
CVE-2017-0199
進犯使用了CVE-2017-0199縫隙，該縫隙于2017年4月公布并修復，當在微軟Office或WordPad下解析特殊結構的文件時會觸發長途代碼履行，在微軟Office的OLE接口下成功使用此縫隙的進犯者能夠操控感染的計算機體系，WayneLow[1]很好地剖析過該縫隙。
這現已不是第一次遇到進犯者使用該縫隙了，之前我們見過此縫隙被用在傳播REMCOS RAT歹意軟件的PPT幻燈片中，不過這次進犯差異于基于鼠標移動的PPT文件進犯，使用ppaction://protocol建議PowerShell指令，打開感染的PPT文件時會觸發ppt/slides/_rels/slide1.xml.rels中的腳本，然后從hxxp://www[.]narrowbabwe[.]net:3345/exp[.]doc下載長途代碼，使用PPT動畫播映特性履行代碼，歹意結構的文件在Target后有很多的空格來逃避YARA檢測（YARA是僅有軟件剖析檢測工具）。

圖2 使用CVE-2017-0199的PPSX文件
觀察文件履行時的網絡流量能夠看到特意結構的文件成功使用了縫隙并下載履行了exp.doc文件，這不是doc文件而是一個包含javascriot代碼的XML文件。

圖3 PPTX文件的網絡流量
UAC繞過提權
從XML文件中提取出JavaScript代碼后能夠看到它會在%Temp%\Microsoft_Office_Patch_KB2817430.jse中寫入一個文件，文件名仿照了微軟Office的補丁名來降低可疑度并試圖展現合法文件的行為，但明顯并非如此。

圖4 嵌入JavaScript代碼的XML文件
此樣本除了使用CVE縫隙外還使用了繞過WindowsUAC安全策略的技能來以高權限履行代碼，更高的權限等同于更多的授權和更多被答應的行為。UAC繞過技能包含綁架HKCU\software\classes\mscfile\shell\open\command中的注冊表并履行eventvwr.exe，你能夠在這里[2]更深化的了解UAC繞過和權限提高相關的技能。

圖5 繞過UAC策略的注冊表添加項
剖析JavaScript
以高權限運行的Microsoft_Office_Patch_KB2817430.jse歹意軟件包含以下代碼：

圖6 Microsoft_Office_Patch_KB2817430.jse文件
在以上代碼中，WMI ActiveScriptConsumers得到了持久使用，創立定時器事件使得腳本每12秒履行一次，運行它的腳本編碼存儲在注釋中。

圖7 解碼后的腳本
從JPG文件中獲取C&C服務器信息
解碼注釋中的代碼后，腳本讀取下列注冊項，如果不存在就創立它們。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Seed0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Feed0

圖8 名為Feed0和Seed0的注冊表向項
寫入到注冊表項中的值經過了Microsoft_Office_Patch_KB2817430.jse文件的硬編碼，解碼后值為hxxp://narrowbabwe[.]net/comsary/logo[.]jpg，腳本建議對此URL的懇求，可是不會有任何回應，憑借VirusTotal能夠獲取到/logo.jpg文件。

圖9 篡改的jpg文件
有了/logo.jpg后能夠持續剖析樣本，jpg文件有一損壞部分，這意味著進犯者篡改了圖片以躲藏一些數據，躲藏信息/數據這是十分有效的技能由于jpg文件一般被認為對錯歹意文件。

圖10 獲取躲藏數據的代碼
代碼獲取了Response_Text長度或許文件結尾并截取0x80h長度，作為編碼數據的開始部分，if句子比較jpg文件中硬編碼的值為95,2,7的符號。如果不滿足if條件則無返回值，如果匹配到符號，則會從i偏移處獲取44字符長度的substr，作為編碼的URL。圖11 篡改的數據
編碼后的URL會被寫入到名為/Seed0的注冊表，解碼后的值為hxxp://www[.]narrowbabwe[.]net/comsary/index[.]php。

圖12 Seed0注冊表項
C&C通訊
下一步經過獲取網絡適配器裝備來辨別代碼是否在虛擬環境中運行并搜索是否存在Virtual值。

圖13 檢查虛擬環境
有意思的是，要發送的數據取決于是否找到了Virtual字符串，如果沒找到，搜集的數據會包含受感染機器的&ipaddr（IP地址）和&macaddr（MAC地址）。

圖14 從感染機器搜集的信息
搜集到需求的信息后進行編碼并使用HTTP POST懇求發送到hxxp://www[.]narrowbabwe[.]net/comsary/index[.]php

圖15 向C&C建議的HTTP POST懇求
要發送的數據格式如下：

圖16 編碼后要發送的數據
不幸的是，在我們剖析的時候C&C服務器現已下線所以沒收到任何呼應，不過依然能夠從下面的代碼承認C&C的呼應包含經過eval()函數履行的任意指令，這些指令能夠是傳送數據的下載函數，最常用的歹意特務軟件是RATs（Remote Access Trojans）。

圖17 指令和成果履行
一旦來自C&C服務器的指令履行完成，會使用下面的HTTP POST懇求字符串格式向服務器發回一個告訴。

圖18 指令履行成果POST告訴
總結
剖析提醒出，該歹意代碼用到了多重技能手段來躲避檢測并保持有效性，這些技能包含使用CVE-2017-0199、UAC繞過技能、權限提高技能、多層嵌入式編碼腳本、分階段URL連接、嵌入C&C信息到jpg文件等，這展示了進犯者能夠使用他們的歹意文件實現持久進犯。
解決辦法
1、 升級微軟更新的縫隙修復補丁
2、 FortiGuard反病毒服務檢測這種威脅MSOffice/Downloader!exploit.CVE20170199
3、 FortiGuard Web攔截服務能夠阻斷所有C&C和相關URLs
4、 FortiSandbox視PPSX文件為高危級別
IOCs：
8e89ae80ea50110244f2293f14615a7699b1c5d2a70415a676aa4588117ad9a7 – PPSX
CC:
hxxp://www[.]narrowbabwe[.]net/comsary/logo[.]jpg
hxxp://www[.]narrowbabwe[.]net:3345/exp[.]doc
hxxp://www[.]narrowbabwe[.]net/comsary/index[.]php