背景
2018年9月20日,360威胁情报中心在日常样本分析与跟踪过程中发现了一例针对韩国文字处理软件Hancom Office设计的漏洞攻击样本。通过详细分析发现,该样本疑似与APT组织“Group 123”相关,且该HWP样本利用了一个从未公开披露的Hancom Office漏洞来执行恶意代码。360威胁情报中心通过对该漏洞进行详细分析后发现,这是Hancom Office在使用开源Ghostscript(下称GS)引擎时未正确使用GS提供的沙盒保护功能而导致的任意文件写漏洞。
360威胁情报中心通过对已知的HWP相关漏洞检索后发现,该漏洞疑似从未被公开(没有任何信息来源对该漏洞进行过描述或者分析,也没有漏洞相关的CVE等信息)。幸运的是,由于版权相关问题,最新版的Hancom Office已经将GS开源组件移除,使问题在最新的软件中得到缓解,但老版本的用户依然受影响,而且此类用户的数量还很大。
而截止我们发布本篇报告时,VirusTotal上针对该攻击样本的查杀效果如下,也仅仅只有5家杀软能检查出其具有恶意行为:
Hancom Office
HWP的全称为Hangul Word Processor,意为Hangul文字处理软件,其是Hancom公司旗下的产品,该公司为韩国的政府所支持的软件公司。Hancom Office办公套件在韩国是非常流行的办公文档处理软件,有超过75%以上的市场占有率。
Hancom公司目前主要的是两个产品系列,一个是Hancom Office,另一个是ThinkFree Office。Hancom Office套件里主要包含HanCell(类似微软的Excel),HanShow (类似微软的PowerPoint),HanWord(也就是HWP,类似微软的Office Word)等。
而在它的官网提供两种语言(英文和韩文),当你以英文的界面语言去访问该网站时,它的下载中心里所提供的只有ThinkFree Office的系列产品,当以韩文界面语言去访问时,它的下载中心里所提供的是Hancom Office系列产品,可以看出Hancom公司针对国内还是主推Hancom Office的产品,针对其他非韩文国家则推送ThinkFree Office的系列产品:
HWP未公开漏洞分析
360威胁情报中心针对该未公开HWP漏洞的整个分析过程如下。
利用效果
使用安装了Hancom Office Hwp 2014(9.0.0.1086)的环境打开捕获到的恶意HWP文档,以下是Hancom Office版本信息:
HWP样本打开后不会弹出任何提示框,也不会有任何卡顿,便会静默在当前用户的启动目录释放恶意脚本UpgradeVer45.bat,并且在%AppData%目录下释放Dhh01.oju01和Dhh02.oju01文件,如下图:
通过进程行为分析可以发现,这其实是Hancom Office自带的gbb.exe程序执行了恶意文件的释放操作:
而gbb.exe其实是Hancom Office用于处理HWP文件中内嵌的EPS脚本的一个外壳程序,其核心是调用了开源GhostScript(下称GS)组件gsdll32.dll来处理EPS脚本:
gbb.exe解析EPS文件所执行的命令行如下:
“C:\Program Files\Hnc\HOffice9\Bin\ImgFilters\gs\gs8.71\bin\gbb.exe” “C:\Users\admin\AppData\Local\Temp\Hnc\BinData\EMB000009b853ef.eps” “C:\Users\admin\AppData\Local\Temp\gsbF509.tmp”
所以该恶意HWP样本极有可能是通过内嵌的EPS脚本触发漏洞来实现释放恶意文件的。为了验证该想法,360威胁情报中心的研究人员提取了HWP文件中的EPS文件后,使用HWP自带的EPS脚本解析程序gbb.exe来模拟Hancom Office解析该脚本(向gbb.exe传入了Hancom Office解析EPS脚本文件时相同的参数列表),也可达到相同的效果(Windows启动项被写入恶意脚本):
漏洞分析过程
既然确定了该恶意HWP样本是利用了解析EPS脚本的相关漏洞来释放恶意文件的,那么我们通过深入分析HWP文件携带的EPS脚本即可找到漏洞成因。
EPS/PS、PostScript以及GhostScript项目
在分析该漏洞前,我们需要了解一些关于EPS/PS和PostScript以及GhostScript项目的相关知识。
EPS(Encapsulated Post Script)
EPS是Encapsulated Post Script的缩写,是一个专用的打印机描述语言,可以描述矢量信息和位图信息,支持跨平台。是目前桌面印刷系统普遍使用的通用交换格式当中的一种综合格式。EPS/PS文件格式又被称为带有预视图象的PS文件格式,它是由一个PostScript语言的文本文件和一个(可选)低分辨率的由PICT或TIFF格式描述的代表像组成。其中,PostScript是一种用来描述列印图像和文字的编程语言,该编程语言提供了丰富的API,包括文件读写等功能:
GhostScript项目
| 
