SANDWORM（沙虫） APT攻击详细分析及解决办法

漏洞概要

国外厂商iSIGHT Partners10月14日发布公告称，俄罗斯黑客利用微软Windows系统中的SandWorm（沙虫）漏洞对欧美国家政府、北约，以及乌克兰政府展开间谍活动。 经分析，该样本使用了Windows OLE远程代码执行漏洞(CVE-2014-4114)样本已在网上传播。该漏洞影响windows Vista SP2 、win7到Win8.1的所有系统。该漏洞是一个逻辑漏洞，通过Office文档就可以触发该漏洞，特别值得一提的是并非内存破坏性质的漏洞，能绕过大部分主动防御类软件。

样本简要分析

样本大小：108917字节

样本MD5：330e8d23ab82e8a0ca6d166755408eb1

样本经过解压后可以看到里面内嵌了两个OLE组件。

该样本运行后，会下载一个名为slide1.gif的PE文件和一个slides.inf的配置文件。之后Ole Package通过IOleObject::DoVerb函数判断ole对象类型,如果是inf，就会去自动加载并安装。

首先inf会将下载来的同目录下的slide1.gif重命名为slide1.gif.exe。然后在HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce添加了对应的自启动项，使得重启后仍然可以执行病毒程序。

释放的slide1.gif.exe运行后会继续释放名为FONTCACHE.DAT的动态库，并调用rundll32.exe执行该动态库的导出函数“MakeCache”。随后在启动文件夹下创建了自启动项。

之后便开始和黑客服务器进行连接，以接收进一步指令。

检测方法

启明星辰自主研发的天阗APT产品可完全检测出该样本。

首先对带有漏洞的pps文件进行检测，检测结果如下：

该系统可对样本进行多环境检测，在XP环境中，我们未检测到攻击行为发生，在Windows 7的Office 2007环境下则检测出了漏洞攻击行为并报警。

当漏洞利用检测系统检测到文档文件有问题后，该检测系统会自动将生成的可疑PE文件送入可疑行为分析系统内进行检测，检测结果如下。如图，该系统可以成功检测到slide1.gif的恶意行为并报警，另外该系统也能对样本发起的可疑C&C连接进行检测并报警。

防御方法

安装微软本月发布的最新补丁MS14-060。https://technet.microsoft.com/library/security/MS14-060

天阗APT产品通过与天清NGIPS产品的联动，实现了对此类利用沙虫漏洞进行攻击的有效防护。当检测到样本的恶意行为及后续可疑C&C连接行为后，天阗APT产品可自动提取相关恶意行为的传播特征及后续的连接行为特征，并将特征下发到其联动的NGIPS产品当中，同时自动生成防护策略，有效阻断此次利用沙虫漏洞进行的后续攻击行为以及后续可能发生的同类攻击。

天阗APT产品通过与现有天阗IDS、天清NGIPS、网闸等安全产品的联动，为客户构建了最为快捷有效抵御已知+未知攻击的多层次立体化的检测与防护体系，让攻击无所遁形。