沙虫新变种现针对台湾的APT攻击事件中

        10月17号发现变种的0day漏洞沙虫（CNNVD-201410-268）已经被用在针对台湾政府以及各单位的APT攻击中，目前主流的杀毒软件还没办法有效地检测。该变种能够直接内嵌恶意软件，并本地触发执行，不需要再从远程共享服务器上下载恶意代码。
        攻击者通过沙虫漏洞利用INF自带的一个功能，完全不用写复杂的Shellcode，并可绕过目前安全防护机制，且稳定又粗暴，可以直接执行任何程序，而且少数出现专打Office 2007之后的Exploit。目前Taidoor与LStudio恶意软件家族已经开始用在APT Email中，预计在半年内都会一直大流行。
        据报道称，该漏洞最早出现今年9月被发现的攻击样本中，被利用在攻击乌克兰政府的APT邮件上，后来也被发现用在攻击北大西洋公约组织以及美国的一些单位。上周，微软发布了新的修补程序 MS14-060 ，基本上所有的Windows有装Office 2007, 2013都可能被攻击。由于微软已经在14号出了补丁，所以攻击者开始大规模利用在犯罪软件上，发挥剩余价值。欧洲发现该漏洞已经植入到BlackEnergy 恶意软件。
        最早被公布的样本是 spiski_deputatov_done.ppsx（330E8D23AB82E8A0CA6D166755408EB1）

        攻击者把恶意软件放到94.185.85.122的主机上，并用UNC(SMB/WebDav)共享UNC文件夹，扩展名是GIF，但是本身是EXE文件。这种方式在国外已经被非常广泛地应用。但APT攻击者并不喜欢这种方式，一来因为太高调，首先它会使受害计算机向外网发起请求，并下载EXE，只要稍微有点安全监控能力的单位，可以很轻易地在网络流量中发现与外网的SMB/WebDav链接，因为这种行为对企业或是政府单位来说大都是恶意的；二来，存放数据的服务器IP地址会很快被曝光。因此大部分这种远程下载都是应用在银行木马或犯罪软件，APT攻击中比较少见。

        样本分析：

        可以看到黑客制作这APT Document Exploit 时的原始路径，这个用户名是“IBM”。这是全世界第一个把沙虫改良成APT Email，还内嵌EXE，且不需UNC远程共享。APT攻击者仅花了2天就完成升级，新的沙虫变种中Exploit内嵌了EXE可执行程序。其中，inf文件的ole object多了一个CompObj stream,用来写入一个ole Package，微软的官方说明是：

        也就是有这个compobj，会使 OLENative object(exe,inf)本身就会被当成 package，通过安排，可以把EXE直接放进去PPTX里面，直接在本地触发并安装。

        内嵌的APT恶意软件就是：台门Taidoor。

        其中，嵌入的恶意软件分析结果如下：

        LStudio恶意软件也是在台湾主要活动的APT恶意软件之一。