2. SANDWORM(沙虫) APT攻击详细分析及解决办法

　　漏洞概要

　　国外厂商iSIGHT Partners10月14日发布公告称，俄罗斯黑客利用微软Windows系统中的SandWorm(沙虫)漏洞对欧美国家政府、北约，以及乌克兰政府展开间谍活动。 经分析，该样本使用了Windows OLE远程代码执行漏洞(CVE-2014-4114)样本已在网上传播。该漏洞影响windows Vista SP2 、win7到Win8.1的所有系统。该漏洞是一个逻辑漏洞，通过Office文档就可以触发该漏洞，特别值得一提的是并非内存破坏性质的漏洞，能绕过大部分主动防御类软件。

　　样本简要分析

　　样本大小：108917字节

　　样本MD5：330e8d23ab82e8a0ca6d166755408eb1

　　样本经过解压后可以看到里面内嵌了两个OLE组件。

▲

▲

▲

　　该样本运行后，会下载一个名为slide1.gif的PE文件和一个slides.inf的配置文件。之后Ole Package通过IOleObject::DoVerb函数判断ole对象类型,如果是inf，就会去自动加载并安装。

▲

　　首先inf会将下载来的同目录下的slide1.gif重命名为slide1.gif.exe。然后在HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce添加了对应的自启动项，使得重启后仍然可以执行病毒程序。

　　释放的slide1.gif.exe运行后会继续释放名为FONTCACHE.DAT的动态库，并调用rundll32.exe执行该动态库的导出函数“MakeCache”。随后在启动文件夹下创建了自启动项。

　　之后便开始和黑客服务器进行连接，以接收进一步指令。

▲