警惕利用Microsoft Office EPS漏洞进行的攻击

前言

近期,APT预警平台捕获到了一个攻击样本,经过分析,该样本似利用CVE-2015-2545进行攻击,并且具备较高的攻击水平。

分析

该样本是一个由Encapsulated PostScript (EPS) filter模块(32bit下模块为EPSIMP32.FLT)中一个User-After-Free漏洞所构造的利用样本。

其漏洞成因及利用在于:EPS在处理字典类型(dict)copy操作时,会将接受拷贝方的键值对条目全部删除,然后再重新分配一个进行数据拷贝(正常情况下在字典拷贝时只对要拷贝的元素进行操作,而不影响其它元素)。而EPS在处理forall操作时,当处理类型为字典(dict)时,forall逐个处理字典(dict)中的每个键值对,forall会获得当前键值对的内容以及一个ptrNext指针指向下一个要处理的键值对,并将键(key)和值(value)的内容放到操作栈中,然后处理forall的处理过程(proc),处理完后仍保留ptrNext指针以处理下一个键值对。而如果在forall处理过程(proc)中有字典的拷贝(copy)操作,copy操作会将键值对条目全部删除,而forallptrNext指针仍存在着,这时ptrNext就变成一个野指针,只要精心构造指针指向的数据,就可以达到利用效果。如该样本利用方式为通过该野指针最终构造出一个起始地址为0x0,大小为0x7fffffffstring对象,这样就可以在该空间内作任意的读写作为后期ROPshellcode等的利用。

20152545p1

图1:forall定义 

20152545p2

图2:字典copy操作过程中的delete过程

20152545p3

图3:forall处理字典类型时的部分过程

详细分析过程如下:

该样本为docx文件,在word/media文件夹下有一个image1.eps文件,该文件即为精心构造的eps文件。

20152545p4

图4

可以看到样本定义了两个字典并为各字典分配元素,然后对第一个构造的字典执行forall操作,在forallproc处理过程中包含有字典copy操作。

如下图可见元素初始分配内容示例如下:

20152545p5

20152545p6

5、6: KeyZ1KeyZ2元素结构内容 (KeyZX元素内容示例)

20152545p7

图7:PostScript Objects 定义

PostScript在解释执行过程中的PostScript Object结构定义大致如下:

struct PostScript object {

    dword type;

    dword attr;

    dword value1;

    dword value2; 

}ps_obj;

用户定义字典元素对象的结构体大致如下:

struct {

    dword * pNext;

    dword dwIndex;

    ps_obj key;

    ps_obj value;

}kv_pair_element;

如此可见如下对应关系:

20152545p8

8:结构内容(KeyZ2为例)

下面继续分析:

forall处理第一个元素时会获取ptrNext,即为指向KeyZ2元素的指针。

20152545p3

图9:forall处理字典类型时的部分过程

20152545p10

10: 获取键及值的内容以及指向下一个元素的指针

20152545p11

11 ptrNext指针初始值为-1

20152545p12

12: 获得的ptrNext的值,即KeyZ2元素的地址

20152545p13

图13

将键和值放入操作栈中后执行proc处理函数,处理函数中有copy操作,在对字典类型进行copy操作的过程中会将键值对元素全部删除,即对该内存空间进行释放。

20152545p14

图14

20152545p2

15:字典copy操作过程中的delete过程

ptrNext指针仍然存在,但指向了一块未经分配的区域,这时就可以对该未分配空间进行数据构造。

20152545p16

图16

20152545p17

图17

如上图所示原先KeyZ2元素空间被构造成了如上数据。注意这里03de8e1c处03d8fc88为原先的数据。

在第一个元素的forallproc处理过程结束后ptrNext依然存在。

20152545p18

图18

然后进行下一个元素的forall操作。

原先ptrNext指向了KeyZ2元素空间,现在已经被重新构造。

20152545p3

19: forall处理字典类型时的部分过程

forall处理该元素时,依然获取键和值,并将键和值放到操作栈中。

20152545p20

图20

20152545p21

图21

在执行完对键和值存储到操作栈的处理函数后,这时键和值已经被保存到操作栈中。

然后处理forallproc处理过程,

20152545p22

图22

在本地测试环境下,通过exch堆栈交换及对/xx_26500 def定义操作,

20152545p23

图23

得到xx_26500元素,可以看到forall放在操作栈的值已经被放在xx_26500中,这时可以看到03d8fc88被泄漏了出来,00000500类型应该说明为字符串类型。

(xx_19169同理,可以看出00000003的类型为integer类型

20152545p24

图24

在本测试环境中即按照old version这条路线来走,其余路线包含64位版本或其它版本。)

回到上面03d8fc88被泄漏了出来,又定义了一个字符串类型的结构,这时获得了一个可控地址,在这个可控地址的基础上再进行构造,最终构造出一个起始地址为0x0,大小为0x7fffffff的可读写字符串空间。这样就可以在该空间内作任意想要的读写操作,做后续的处理。

20152545p25

图25

如搜索并保存ROP指令的地址:

20152545p26

图26

放置shellcode数据:

20152545p27

图27

放置PE文件:

20152545p28

图28

最后通过构造并使用bytesavailable操作将执行地址转换到ROP链上。

20152545p29

图29

20152545p30

图30:bytesavailable函数内

20152545p31

31callROP 修改栈地址

ROP链:

0:000> dd /c 1 eax 

0be7f03a  0bc5c543   c2 0c 00   //ret 0Ch

0be7f03e  0bc5c543    c2 0c 00   //ret 0Ch

0be7f042  00000000

0be7f046  00000000

0be7f04a  0bc9b9b9    94 c3      //xchg eax,esp;ret   

0be7f04e  0bc6a0b6    8b 41 14   //mov eax, [ecx+14h];retn   //eax <= NtProtectVirtualMemory的序号

0be7f052  00000000

0be7f056  00000000

0be7f05a  00000000

0be7f05e  7c92d075    ntdll!ZwCreateEvent+0x5  //NtProtectVirtualMemory

0be7f062  0be81008    shellcode

0be7f066  ffffffff

0be7f06a  0be7e208

0be7f06e  0be7e20c

0be7f072  00000040

0be7f076  0be7e210

0be7f07a  00000000

0be7f07e  00000000

ROP使用了一种较新的方法,该方法可以绕过EMET等防护软件的检测。

EMET依赖HOOK关键函数进行ROP检测。

由于ZwProtectVirtualMemory是被EMET HOOK到进行检测的,而ZwCreateEvent函数没有被EMET HOOK到,

ntdll!ZwCreateEvent:

7c92d070 b823000000      mov     eax,23h

7c92d075 ba0003fe7f        mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)

7c92d07a ff12                    call    dword ptr [edx]

7c92d07c c21400               ret     14h

7c92d07f 90                       nop

该类函数结构都似如上结构所示,先写入一个序号再CALL,各函数只有序号是不同的。

所以该方法先找到ZwProtectVirtualMemory的序号,然后ROP方式写入eax中,再调用

ZwCreateEvent + 5的地址,这样就绕过了ROP检测(64bit同理)

Shellcode的功能主要为释放一个DLL并加载执行之。

结语

该漏洞及利用样本的威胁程度非常高,可以在多种环境下成功利用,并且其构造的ROP链及shellcode能够绕过多款安全性增强工具的检测。所以需要做好防范工作。