根据趋势科技的最新跟踪分析，近日网络犯罪分子通过微软PowerPoint利用Windows对象链接嵌入（OLE）界面中的一个漏洞来安装恶意软件（由趋势科技检测为TROJ_CVE20170199.JVU）。该接口通常被恶意RTF文件（RTF）文件利用，比如，今年早些时候发现的DRIDEX银行木马就是使用的该方法。而本次的攻击从包含附件的网络钓鱼电子邮件中开始，恶意软件伪装成PPSX文件。这是一种仅允许播放幻灯片的PowerPoint文件，不可编辑。开始感染主机后，恶意代码会通过PowerPoint动画而运行。

攻击过程分析

TROJ_CVE20170199.JVU的感染流程

本次攻击从包含附件的网络钓鱼电子邮件中开始，攻击者可以将远程访问工具作为其最终的有效载荷。据观察，攻击的主要对象是电子制造业的公司。

电子邮件样本的内容如下所示：

虽然电子邮件本身提及有关订单请求的内容，但是接收此电子邮件的用户将无法查找附加的业务文档，而是点击PPSM文件时显示以下内容：

利用CVE-2017-0199的PPSX文件的屏幕截图

当恶意PowerPoint演示文件被打开时，它显示文本CVE-2017-8570，这是Office的另外一个漏洞。然而，根据趋势科技的分析，该漏洞其实是CVE-2017-0199。

被恶意代码感染的文件在ppt/slides/_rels/slide1[.]xml[.]rels中触发脚本标记，漏洞利用远程代码运行在hxxp://192[.]166[.]218[.]230:3550/logo[.]doc，这是被攻击者滥用的VPN或托管服务。

嵌入在ppt/slides/_rels/slide1[.]xml[.]rels中的远程恶意代码的有效内容链接

趋势科技的研究人员在实验环境中运行，被感染的PowerPoint在初始化脚本标记后，会并通过PowerPoint动画功能运行远程恶意有效载荷。

从下图可以看出，在成功利用漏洞之后，它将从网上下载文件logo.doc（由趋势科技检测为JS_DLOADER.AUSYVT）。

成功下载logo.doc文件

logo.doc不是doc文件，该文档实际上是一个具有JavaScript代码的XML文件，它运行PowerShell命令来下载并执行称为RATMAN.EXE的文件（趋势科技检测为BKDR_RESCOMS.CA），该执行文件实际上是Command＆Control（C＆C）服务器的REMCOS远程访问工具的木马版本：hxxp://192[.]166[.]218[.]230:3550/ratman[.]exe，位于波兰。 192[.]166[.]218[.]230地址同时也被托管其他种类的RAT。 然后，RATMAN.EXE连接到C＆C服务器 5[.]134[.]116[.]146:3550 进行执行。

Ratman.EXE其实是REMCOS远程访问木马

其实，REMCOS远程访问木马刚开始是一种合法和可定制的远程访问工具，可让用户从世界任何地方控制系统。一旦执行了REMCOS，网络犯罪分子就能够在用户的系统上运行远程命令。该工具的功能可以在下图中的“控制面板”屏幕中看到。该工具的功能非常全面，包括下载和执行命令，键盘记录器，屏幕记录器和摄像头和麦克风的录像机。

虽然REMCOS构建器通常只包括使用UPX和MPRESS的压缩，但是研究人员获取的木马样本使用了一个未知的.NET保护器，其中包含多个保护和混淆，使研究人员更难以进行分析。

样本的混淆代码

下图中未解压的示例中的字符串显示了由它构建的REMCOS客户端的版本。

REMCOS使用加密通信，包括用于其认证和网络流量加密的硬编码密码。因此，为了使RATMAN.EXE与其客户端进行通信，必须相应地设置端口和密码。

最终，由于CVE-2017-0199的检测方法专注于RTF文件，因此使用PPSX 格式允许攻击者逃避防病毒检测。但是，趋势科技确实注意到，微软已经在4月份通过最新安全补丁解决了这个漏洞。

缓解方案

有本文的分析可以看出，用户在打开文件或点击邮件中的链接时要格外谨慎，即使它们的来源是通过正规渠道。网络钓鱼的攻击防不胜防，如本文所示，利用PPT可能会欺骗大多数用户下载恶意文件。除此之外，用户还应该始终使用最新的安全更新。

CVE-2017-0199是Office系列办公软件中的一个逻辑漏洞，和常规的内存破坏型漏洞不同，这类漏洞无需复杂的利用手法，直接就可以在office文档中运行任意的恶意脚本，使用起来稳定可靠。微软在今年4月安全更新中对CVE-2017-0199漏洞进行了修复，但安全补丁的修复及防御仍然可以绕过，在7月微软的安全更新中又修复了同样类型的新漏洞CVE-2017-8570。