背景
2018年9月20日,360威脅情報(bào)中心在日常樣本分析與跟蹤過(guò)程中發(fā)現(xiàn)了一例針對(duì)韓國(guó)文字處理軟件Hancom Office設(shè)計(jì)的漏洞攻擊樣本。通過(guò)詳細(xì)分析發(fā)現(xiàn),該樣本疑似與APT組織“Group 123”相關(guān),且該HWP樣本利用了一個(gè)從未公開(kāi)披露的Hancom Office漏洞來(lái)執(zhí)行惡意代碼。360威脅情報(bào)中心通過(guò)對(duì)該漏洞進(jìn)行詳細(xì)分析后發(fā)現(xiàn),這是Hancom Office在使用開(kāi)源Ghostscript(下稱(chēng)GS)引擎時(shí)未正確使用GS提供的沙盒保護(hù)功能而導(dǎo)致的任意文件寫(xiě)漏洞。
360威脅情報(bào)中心通過(guò)對(duì)已知的HWP相關(guān)漏洞檢索后發(fā)現(xiàn),該漏洞疑似從未被公開(kāi)(沒(méi)有任何信息來(lái)源對(duì)該漏洞進(jìn)行過(guò)描述或者分析,也沒(méi)有漏洞相關(guān)的CVE等信息)。幸運(yùn)的是,由于版權(quán)相關(guān)問(wèn)題,最新版的Hancom Office已經(jīng)將GS開(kāi)源組件移除,使問(wèn)題在最新的軟件中得到緩解,但老版本的用戶依然受影響,而且此類(lèi)用戶的數(shù)量還很大。
而截止我們發(fā)布本篇報(bào)告時(shí),VirusTotal上針對(duì)該攻擊樣本的查殺效果如下,也僅僅只有5家殺軟能檢查出其具有惡意行為:
Hancom Office
HWP的全稱(chēng)為Hangul Word Processor,意為Hangul文字處理軟件,其是Hancom公司旗下的產(chǎn)品,該公司為韓國(guó)的政府所支持的軟件公司。Hancom Office辦公套件在韓國(guó)是非常流行的辦公文檔處理軟件,有超過(guò)75%以上的市場(chǎng)占有率。
Hancom公司目前主要的是兩個(gè)產(chǎn)品系列,一個(gè)是Hancom Office,另一個(gè)是ThinkFree Office。Hancom Office套件里主要包含HanCell(類(lèi)似微軟的Excel),HanShow (類(lèi)似微軟的PowerPoint),HanWord(也就是HWP,類(lèi)似微軟的Office Word)等。
而在它的官網(wǎng)提供兩種語(yǔ)言(英文和韓文),當(dāng)你以英文的界面語(yǔ)言去訪問(wèn)該網(wǎng)站時(shí),它的下載中心里所提供的只有ThinkFree Office的系列產(chǎn)品,當(dāng)以韓文界面語(yǔ)言去訪問(wèn)時(shí),它的下載中心里所提供的是Hancom Office系列產(chǎn)品,可以看出Hancom公司針對(duì)國(guó)內(nèi)還是主推Hancom Office的產(chǎn)品,針對(duì)其他非韓文國(guó)家則推送ThinkFree Office的系列產(chǎn)品:
HWP未公開(kāi)漏洞分析
360威脅情報(bào)中心針對(duì)該未公開(kāi)HWP漏洞的整個(gè)分析過(guò)程如下。
利用效果
使用安裝了Hancom Office Hwp 2014(9.0.0.1086)的環(huán)境打開(kāi)捕獲到的惡意HWP文檔,以下是Hancom Office版本信息:
HWP樣本打開(kāi)后不會(huì)彈出任何提示框,也不會(huì)有任何卡頓,便會(huì)靜默在當(dāng)前用戶的啟動(dòng)目錄釋放惡意腳本UpgradeVer45.bat,并且在%AppData%目錄下釋放Dhh01.oju01和Dhh02.oju01文件,如下圖:
通過(guò)進(jìn)程行為分析可以發(fā)現(xiàn),這其實(shí)是Hancom Office自帶的gbb.exe程序執(zhí)行了惡意文件的釋放操作:
而gbb.exe其實(shí)是Hancom Office用于處理HWP文件中內(nèi)嵌的EPS腳本的一個(gè)外殼程序,其核心是調(diào)用了開(kāi)源GhostScript(下稱(chēng)GS)組件gsdll32.dll來(lái)處理EPS腳本:
gbb.exe解析EPS文件所執(zhí)行的命令行如下:
“C:\Program Files\Hnc\HOffice9\Bin\ImgFilters\gs\gs8.71\bin\gbb.exe” “C:\Users\admin\AppData\Local\Temp\Hnc\BinData\EMB000009b853ef.eps” “C:\Users\admin\AppData\Local\Temp\gsbF509.tmp”
所以該惡意HWP樣本極有可能是通過(guò)內(nèi)嵌的EPS腳本觸發(fā)漏洞來(lái)實(shí)現(xiàn)釋放惡意文件的。為了驗(yàn)證該想法,360威脅情報(bào)中心的研究人員提取了HWP文件中的EPS文件后,使用HWP自帶的EPS腳本解析程序gbb.exe來(lái)模擬Hancom Office解析該腳本(向gbb.exe傳入了Hancom Office解析EPS腳本文件時(shí)相同的參數(shù)列表),也可達(dá)到相同的效果(Windows啟動(dòng)項(xiàng)被寫(xiě)入惡意腳本):
漏洞分析過(guò)程
既然確定了該惡意HWP樣本是利用了解析EPS腳本的相關(guān)漏洞來(lái)釋放惡意文件的,那么我們通過(guò)深入分析HWP文件攜帶的EPS腳本即可找到漏洞成因。
EPS/PS、PostScript以及GhostScript項(xiàng)目
在分析該漏洞前,我們需要了解一些關(guān)于EPS/PS和PostScript以及GhostScript項(xiàng)目的相關(guān)知識(shí)。
EPS(Encapsulated Post Script)
EPS是Encapsulated Post Script的縮寫(xiě),是一個(gè)專(zhuān)用的打印機(jī)描述語(yǔ)言,可以描述矢量信息和位圖信息,支持跨平臺(tái)。是目前桌面印刷系統(tǒng)普遍使用的通用交換格式當(dāng)中的一種綜合格式。EPS/PS文件格式又被稱(chēng)為帶有預(yù)視圖象的PS文件格式,它是由一個(gè)PostScript語(yǔ)言的文本文件和一個(gè)(可選)低分辨率的由PICT或TIFF格式描述的代表像組成。其中,PostScript是一種用來(lái)描述列印圖像和文字的編程語(yǔ)言,該編程語(yǔ)言提供了豐富的API,包括文件讀寫(xiě)等功能:
GhostScript項(xiàng)目
| 
