动画光标文件(

Size: px

Start display at page:

Download "动画光标文件("

那企麴
5 years ago
Views:

Ms07-017 动画光标文件 (.Ani) 漏洞分析 neinei/2007-4-8 一漏洞描述 : Microsoft Windows 在处理动画光标文件 (.ani) 时没有正确地验证 ANI 头中所指定的大小, 导致栈溢出漏洞恶意攻击者可以在网页中嵌入相关脚本, 在用户浏览网页时会执行伪造的.

gif 等其他形式的图形文件二漏洞分析 : Windows 的动画光标文件一般由四部分构成 : 文字说明区信息区时间控制区和数据区, 即 ACONLIST 块 anih 块 rate 块和 LIST 块图一为正常的 ani 文件头部格式 ( 图一 ) 图中蓝色括起来的为识别码, 红色括起来的为识别码所标识的块的大小 RIFF

1 Ms 动画光标文件 (.Ani) 漏洞分析 neinei/ 一漏洞描述 : Microsoft Windows 在处理动画光标文件 (.ani) 时没有正确地验证 ANI 头中所指定的大小, 导致栈溢出漏洞恶意攻击者可以在网页中嵌入相关脚本, 在用户浏览网页时会执行伪造的.ani 文件, 或者用户打开了恶意的邮件消息, 都会触发这个溢出, 导致执行任意代码该文件 (.ani) 会被伪装成.jpg 或.gif 等其他形式的图形文件二漏洞分析 : Windows 的动画光标文件一般由四部分构成 : 文字说明区信息区时间控制区和数据区, 即 ACONLIST 块 anih 块 rate 块和 LIST 块图一为正常的 ani 文件头部格式 ( 图一 ) 图中蓝色括起来的为识别码, 红色括起来的为识别码所标识的块的大小 RIFF ---- 多媒体文件识别码, 大小 0xCA0; ACONLIST ---- 文字说明区识别码, 大小 0x44; anih ---- 信息区识别码, 大小 0x24; LIST ---- 数据区识别码, 大小 0xC1C; 其中 RIFF, ACONLIST,LIST 区块大小并不固定, 随 ani 文件本身的不同而变化, anih 块大小为固定为 24, 该漏洞即利用对 anih 块没有正确验证大小所导致的图二为利用该漏洞伪造的 ani 文件头部格式 ( 图二 ) 可以看出 anih 标识块的大小并不是 0x24, 而是被改造过的 0x52, 橙红色选中部分大小

文件头偏移 0xb8 处图三为程序正常的返回地址 ( 图三 ) 0012DEBC 处对应的返回地址为 77D54304, 该地址为分析 ani 文件结构函数后的下一条指令地址如图 ( 四 ) 所示 USER32.

2 为 0x52( 范围 0x68 0xb9) 个字节, 程序解析到 anih 块处, 未对该块数据大小与 0x24 做校验, 导致将该处 0x52 个字节的数据拷贝到栈当中, 注意红色括起来的数据 (D0 25), 该数据覆盖了正常的程序执行流程, 转而跳向了 ani 文件中事先编写好的恶意代码处在捕获到的样本当中, 所利用的就是 ( 图二 ) 中的恶意构造手段将正常程序返回地址的后两个字节覆盖为 25 D0, 该数据在恶意构造的 ani 文件头偏移 0xb8 处图三为程序正常的返回地址 ( 图三 ) 0012DEBC 处对应的返回地址为 77D54304, 该地址为分析 ani 文件结构函数后的下一条指令地址如图 ( 四 ) 所示 USER32. 77D53F83 即为分析 ani 文件结构的函数 ( 图四 ) 当执行完 rep movs byte ptr es:[edi],byte ptr ds:[esi] 后, 栈中 0012DEBC 处数据 77D54304 被覆盖变为 77D525D0 如 ( 图五 ) 所示

3 ( 图五 ) 而 77D525D0 处代码为 call dword ptr ds:[ebx+4]; 此时跳转向了 shellcode 处代码如 ( 图六 ) 所示图 ( 六 ) 即 ds:[ebx + 4] 的地址值为 025B00AB 此时程序将执行栈中的 shellcode,( 如图七 ) 所示

4 ( 图七 ) 该段代码即为在 ani 文件当中恶意构造的 shellcode, 图 ( 八 ) 为伪造的 ani 文件 ( 图八 )

$dll 文件中的导出函数 LoadImage 在处理 ani 各区块的函数当中 Ani 文件中每个区块都具有如下结构 typedef struct _Chunk { DWORD ChunkId; /* 块标志 */ DWORD ChunkSize; /* 块大小 */ BYTE ChunkData[ChunkSize]; /* 块内容 */ } CHUNK; 当解析到 anih 区块时, 未对$

5 可以看到红线括起来的即为 shellcode, 尾部为下载木马的网络链接地址网上利用该漏洞所编写的木马生成器就是根据用户配置, 改写尾部的链接地址三漏洞代码分析 : 经过分析该漏洞位于 user32.dll 文件中的导出函数 LoadImage 在处理 ani 各区块的函数当中 Ani 文件中每个区块都具有如下结构 typedef struct _Chunk { DWORD ChunkId; /* 块标志 */ DWORD ChunkSize; /* 块大小 */ BYTE ChunkData[ChunkSize]; /* 块内容 */ } CHUNK; 当解析到 anih 区块时, 未对 ChunkSize 值的大小做校验该处代码 ( 如图九 ) 所示 ( 图九 ) CMP ECX,DWORD PTR DS:[EAX+8] // 可以看到该处代码仅对当前处理字节数和文件总长度做了比较 MOV ECX,EDX // EDX 的值为外部传入的区块长度, 该长度可手工构造 MOV EBX,ECX SHR ECX,2 // 右移 2 位 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI] 覆盖 MOV ECX,EBX AND ECX,3 // 不足四字节按单字节拷贝注意 : 下面语句覆盖了正常程序返回地址 77D54304 的后两个字节的数据, 使其变为 77D525D0 REP MOVS BYTE PTR ES:[EID],BYTE PTR DS:[ESI]

6 溢出的代码如下所示 : PUSH EAX PUSH EDI PUSH DWORD PTR SS:[EBP +C ] PUSH ESI CALL DWORD PTR DS :[EBX + 4 ] // 被覆盖的返回地址会跳向该位置进而执行 shellcode MOV EDI,EAX JMP SHORT USER32.77D52606 四清除方案 : 1 检测机制方案 1 : 可先识别出文件头标志 RIFF, 然后检测其后四字节内容的大小, 验证其与真正文件大小是否一致, 因网络上大部分样本都是由木马生成器制作的, 文件头大小都为 0x313, 而实际文件的大小并不都是 0x313,( 图二 ) 中样本的大小就为 0x350, 但该方案并不完全可靠方案 2 : 识别出 RIFF 标志后, 继续搜索 anih 标志, 若该区块大小大于 0x24, 则可认为该文件具有溢出攻击的可能方案 3 : 识别出 RIFF 标志后, 可搜索 c c 这样的特征 (tsil tsil) 包含这样特征的样本较多, 再从样本的 shellcode 取出一段特征码, 做二次比较当被检测对象即含有 tsil tsil 特征又含有 shellcode 中的一段特征时即可认为该检测对象为含有溢出攻击的可能 2 预防机制方案 1: 安装个人防火墙软件, 防止其下载其它的病毒及恶意程序方案 2: 安装专业的杀毒软件升级到最新版本, 并打开实时监控程序方案 3 : 编写 DLL 注入到 iexplore.exe 进程中,hook 其导入表中 user32.dll 模块的两个导出函数 LoadImageA, LoadImageW 该函数的参数如下 : HANDLE LoadImage( HINSTANCE hinst, // handle of the instance containing the image LPCTSTR lpszname, // name or identifier of image UINT utype, // type of image int cxdesired, // desired width int cydesired, // desired height UINT fuload // load flags ); 当 hook 掉 LoadImageA, LoadImageW 后我们自己的 MyLoadImageA 函数如下 :

7 HANDLE WINAPI MyLoadImageA( HINSTANCE hinst, LPCSTR lpszname, UINT utype, int cxdesired, int cydesired, UINT fuload) { if ( hinst == NULL && ((UINT_PTR)lpszName > 0xFFFF) && utype == IMAGE_CURSOR && (fuload & LR_LOADFROMFILE)!= 0 &&!IsBadStringPtrA(lpszName, (UINT)-1) ) { If(CheckANiExp(lpszName)) // 根据检测机制提供方案, 判别是否为恶意的 ani 文件 { SetLastError(ERROR_ACCESS_DENIED); return NULL; } } return LoadImageA(hinst, lpszname, utype, cxdesired, cydesired, fuload); // 执行正常的加载 } MyLoadImageW 与上面的情况类似五 : 当前情况在北京时间 4 月 4 日微软发布了该漏洞的补丁, 名称是 GDI 漏洞导致远程代码被执行 (925902) 包含版本为: Windows XP 更新程 Windows XP x64 Edition 安全更新程序基于 x64 的系统的 Windows Vista 安全更新程序 Windows Vista 安全更新程序 Windows Server 2003 x64 Edition 安全更新程序 Windows Server 2003 安全更新程序 Windows 2000 安全更新程序 User32.dll 被更新原 user32.dll 文件大小为 583,680 字节, 版本 , 修改时间 2005 年 4 月 5 日, 12:00:00 更新后 user32.dll 文件大小为 584,192 字节, 版本 , 修改时间 2007 年 3 月 2 日, 14:11:24 该漏洞位于 User32.dll 的导出函数 LoadImage LoadAniIcon 处, 反汇编未更新的 user32.dll 的 LoadAniIcon 函数 ( 如图十 ) 所示

8 ( 图十 ) _ReadChunk@12 函数的拷贝数据部分 ( 如图十一 ) ( 图十一 ) 更新后的 user32.dll 的 LoadAniIcon 函数已经做了修改, 加入验证了 anih 区块大小的处理功能, 更新后的 LoadAniIcon 函数如图 ( 如图十二 ) 所示

Windows XP Professional SP1,Windows 2000 Server sp4, Windows Server 2003 Standard Edition

9 ( 图十二 ) Loc_77E43BBD 的函数如 ( 图十三 ) 所示 ( 图十三 ) Loc_77E526F4 函数如 ( 图十四 ) 所示 ( 图十四 ) 由此可见漏洞在 user32.dll 处的分析是正确的在分析的多个样本发现, 多数恶意构造的 ani 文件都是覆盖 EIP 的后两个字节因采用硬编码机制, 造成该溢出攻击成功的可能性与操作平台有很大关系, 上述样本在 : Windows XP Professional SP1,Windows 2000 Server sp4, Windows Server 2003 Standard Edition 的系统上均未溢出成功, 因改写 EIP 的后两个字节后所跳向的地址并不是 call dword ptr ds:[ebx+4], 所以虽然存在 ani 漏洞, 但网络上所使用的 ANI 漏洞利用生成器并不具备很强的通用性

BOOL EnumWindows(WNDENUMPROC lparam); lpenumfunc, LPARAM (Native Interface) PowerBuilder PowerBuilder PBNI 2

BOOL EnumWindows(WNDENUMPROC lparam); lpenumfunc, LPARAM (Native Interface) PowerBuilder PowerBuilder PBNI 2 PowerBuilder 9 PowerBuilder Native Interface(PBNI) PowerBuilder 9 PowerBuilder C++ Java PowerBuilder 9 PBNI PowerBuilder Java C++ PowerBuilder NVO / PowerBuilder C/C++ PowerBuilder 9.0 PowerBuilder Native