MICROSOFT WORD INTRUDER (MWI)
MWI - профессиональное "средство доставки", эксплойт-пак на базе целого ряда самых актуальных 1-day уязвимостей в продуктах Microsoft Office Word.
Документ, сгенерированный MWI может содержать в себе до 4ех эксплойтов сразу:
1. CVE-2010-3333
2. CVE-2012-0158
3. CVE-2013-3906
4. CVE-2014-1761
Запускаемый .exe файл может содержаться как в теле самого документа, так и вытягиваться по ссылке с web-сервера.
Что отличает данный эксплойт, от всех остальных решений:
- Уникальность
MWI - это единственное решение на рынке .doc эксплойтов, которое представляет собой мультиэксплойт и атакует сразу несколько уязвимостей одновременно. Такой подход повышает шансы на успех и позволяет атаковать сразу два вектора обновлений: операционную систему и сам офисный пакет приложений.
- Универсальность
MWI охватывает почти всю линейку версий Microsoft Office: Word XP, Word 2003, Word 2007, Word 2010. Каждый эксплойт реализован так, чтобы суметь атаковать как можно больше уязвимых версий и операционных систем. По охвату уязвимых систем MWI выгодно отличается от всех альтернативных решений.
- Надежность
Эксплойт максимально независим от разного рода условий для успешной атаки: будь то версия установленного ПО в системе или те или иные защитные механизмы ОС. Каждый этап работы эксплойта продуман до мелочей.
- Обход средств защиты
Эксплойт максимально усложняет свое обнаружение: каждый элемент эксплойта защищен от обнаружения целым комплексом средств: от банальной обфускации до полиморфизма и шифрования. Каждый сгенерированный эксплойт имеет свою уникальную сигнатуру, максимально рандомизированную структуру и данные. Помимо противодействию сигнатурным методам, эксплойт использует различные методы для обхода проактивных (поведенческих) средств обнаружения. В частности, запуск .exe-файла производится из контекста доверенного системного процесса.
- Поддержка и постоянное развитие
MWI для широкой аудитории был представлен на рынке лишь весной 2013 года, хотя его первые версии были созданы еще в конце 2010 года и использовались в довольно узком кругу людей. Проект постепенно совершенствовался и улучшался, обрастая новыми эксплойтами и модулями, вконце концов сформировавшись до целого эксплойт-пака с гибкой модульной архитектурой. Проект постоянно развивается и не стоит на месте. Мы регулярно выпускаем обновления, производим чистки, дополняем эксплойт-пак новыми эксплойтами и модулями. Мы настроены на долгосрочное сотрудничество.
- Инновации
MWI - инновационное решение. Очередным подтверждением этого стало появление web-сервера статистики "mwistat", который позволяет вести полную статистику работы эксплойта, логировать когда и во сколько был открыт документ или произведена загрузка .exe-файла, с какого IP-адреса, а также некоторую другую информацию об используемом ПО на атакуемых системах (User-Agent).
http://s4.postimg.org/5ld8djbyl/mwistat_files.png
http://s3.postimg.org/ybmevy743/mwistat_logs.png
http://s22.postimg.org/gt95gtpqp/mwistat_stats.png
CVE-2010-3333: RTF pFragments Stack Buffer Overwrite Remote Code Execution Exploit [MS10-087]
EXPLOITABLE WORD VERSIONS:
Word 2003 32-bit XP, Vista, Win7, Win8 32 & 64 bit
Word 2007 32-bit XP, Vista, Win7, Win8 32 & 64 bit
Word 2010 32-bit XP, Vista, Win7, Win8 32 & 64 bit
VULNERABLE MODULE PATHS:
Word 2003 C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll
Word 2007 C:\Program Files\Common Files\Microsoft Shared\office12\mso.dll
Word 2010 C:\Program Files\Common Files\Microsoft Shared\office14\mso.dll
PATCHES:
Word 2003 mso.dll 11.0.8329.0000
Word 2007 mso.dll 12.0.6545.5004
Word 2010 mso.dll 14.0.5128.5000
Отличие от всех альтернативных решений:
- полная универсальность и надежность, единственное универсальное и реально рабочее решение
Цитата
CVE-2012-0158: MSCOMCTL.OCX ListView Stack Buffer Overwrite Remote Code Execution Exploit [MS12-027]
EXPLOITABLE WORD VERSIONS:
Word 2003 32-bit XP, Vista, Win7, Win8 32 & 64 bit
Word 2007 32-bit XP, Vista, Win7, Win8 32 & 64 bit
Word 2010 32-bit XP, Vista, Win7, Win8 32 & 64 bit
VULNERABLE MODULE PATHS:
C:\WINDOWS\system32\MSCOMCTL.OCX
C:\Windows\SysWOW64\MSCOMCTL.OCX
EXPLOITABLE VERSIONS:
MSCOMCTL.OCX 6.01.9545
MSCOMCTL.OCX 6.01.9782
MSCOMCTL.OCX 6.01.9786
MSCOMCTL.OCX 6.01.9813
MSCOMCTL.OCX 6.01.9816
MSCOMCTL.OCX 6.01.9818
PATCHES:
MSCOMCTL.OCX 6.01.9833
MSCOMCTL.OCX 6.01.9834
* уязвимость отсутствует в некоторых сборках MSOffice, не поддерживающих работу с ActiveX, например
Office 2010 Starter, а также различных пиратских сборках, где модуль MSCOMCTL.OCX просто отсутствует.
Отличие от всех альтернативных решений:
- полная универсальность и надежность, единственное универсальное и реально рабочее решение
Цитата
CVE-2013-3906: TIFF Heap Overflow via Integer Overflow [MS13-096]
EXPLOITABLE WORD VERSIONS:
Word 2007 32-bit XP, Vista, Win7 32 & 64 bit
Word 2010 32-bit XP 32 bit
* эксплойт основан на технологии heap-spray
1. EXPLOITATION OF OGL.DLL (Office 2007)
VULNERABLE MODULE PATHS:
C:\Program Files\Common Files\Microsoft Shared\OFFICE12\OGL.DLL
EXPLOITABLE:
OGL.DLL 12.0.6509.5000
OGL.DLL 12.0.6420.1000
OGL.DLL 12.0.6420.1000
OGL.DLL 12.0.6415.1000
and others
PATCHES:
OGL.DLL 12.0.6700.5000
OGL.DLL 12.0.6688.5000
OGL.DLL 12.0.6679.5000
OGL.DLL 12.0.6659.5000
OGL.DLL 12.0.6604.1000
2. EXPLOITABLE VERSIONS OF OGL.DLL (Office 2010 + XP)
VULNERABLE MODULE PATHS:
C:\Program Files\Common Files\Microsoft Shared\OFFICE14\OGL.DLL
EXPLOITABLE:
OGL.DLL 4.0.7577.4098
OGL.DLL 4.0.7577.4392
and others
PATCHES:
OGL.DLL 4.0.7577.4415
Отличие от всех альтернативных решений:
- макисмальная скорость heap-spray
- универсальность (атака сразу на office2007 + office2010)
- универсальный ROP сразу для двух версий MSCOMCTL.OCX 983x
- широкие возможности для дальнейших чисток и обфускации эксплойта
- минимальная детектируемость эксплойта (единственный эксплойт в формате RTF)
Цитата
CVE-2014-1761: RTF ListOverrideCount Memory Corruption / Object Confusion [MS14-017]
EXPLOITABLE WORD VERSIONS:
Word 2010 32-bit Win7, Win8
VULNERABLE MODULE PATHS:
C:\Program Files\Microsoft Office\Office14\wwlib.dll
EXPLOITABLE:
wwlib.dll 14.0.4762.1000
and others
PATCHES:
wwlib.dll 14.0.7121.5004
Отличие от всех альтернативных решений:
- поддержка windows 8
- недетектируемость эксплойта
Цитата
MWISTAT 2.0: statistic web-server
Web-сервер статистики mwistat позволяет вести полную статистику работы эксплойта, логировать когда и во сколько был открыт документ или произведена загрузка .exe-файла, с какого IP-адреса, а также некоторую другую информацию, как например User-Agent.
Меню:
FILES - загружаемые .exe-файлы
LOGS - логи
STATS - статистика
TOOLS - доп. инструменты (IP-whois)
Раздел FILES представляет из себя таблицу со следующими колонками:
FILE_ID - идентификатор файла (8 цифр)
FILE_NAME - имя .exe файла
FILE_DATE - дата загрузки файла
FILE_STAT_URL - так называемая "stat" ссылка для работы с этим файлом (указывается в билдере)
FILE_LOGS - кнопки для просмотра логов/статистики по данному файлу (LOGS | STATS)
ACTION - кнопки для загрузки, редактирования (reupload), удаления файла (GET | EDIT | DEL)
Кнопка ADD NEW FILE позволяет загрузить .exe-файл на сервер.
Раздел LOGS представляет из себя таблицу со следующими колонками:
DATE_TIME - дата и время запроса (при нажатии сортируются по времени в обратном порядке)
FILE_ID - идентификатор файла (8 цифр)
IP_ADDRESS - IP-адрес
IP_INFO - страна, флажок (при нажатии выводит всю IP-whois информацию)
ACTION - бывает трех видов:
1. OPEN - открытие документа.
2. LOAD - загрузка .exe файла. если с пометкой failed - .exe-файл был удален с сервера и загружен не был.
3. SUSP или SUSPICIOUS - подозрительный запрос. это могут быть попытки взлома или другие действия со стороны хакеров, антивирусных компаний, исследователей и прочих нежелательных лиц.
USER_AGENT - поле HTTP-пакета User-Agent
GET_DATA - переданные GET параметры id и act HTTP-запроса
Кнопка CLEAN STATS позволяет очистить все логи и статистику.
Раздел STATS - несколько таблиц.
Статистика по запросам:
TOTAL REQUESTS - всего запросов поступило на сервер
OPENED - из этих запросов открыто
LOADED - загружено
SUSPICIOUS - подозрительные запросы
Статистика по уникальным IP-адресам:
TOTAL IPs - всего уникальных IP-адресов
OPENED - открыто
LOADED - загружено
SUSPICIOUS - подозрительные запросы
TOTAL % - процент пробива
Статистика по уникальным IP-адресам (расширенная, список атакованных IP)
IP-ADDRESS - IP-адрес (при нажатии - просмотр всех запросов с этого IP)
IP-INFO - страна, флажок (при нажатии выводит всю IP-whois информацию)
OPENED - из этих запросов открыто
LOADED - загружено
SUSPICIOUS - подозрительные запросы
Кнопка CLEAN STATS также позволяет очистить все логи и статистику.
Раздел TOOLS содержит IP-whois сервис - вводим IP, жмем whois и получаем требуемую информацию.
Ориентировочная цена за билдер: ~4000$
имеются более бюджетные варианты (урезанные сборки) от ~3000$
Линейный вид
