CVE-2014-4114样本分析

2014-10-17 Nie.Meining Debug

分析了一下这两天比较火的CVE-2014-4114,样本上传后分析平台立刻报警:

CVE-2014-4114_0.jpg

奇怪的是捕获到了异常代码,却没有发现后续行为,上网查了查漏洞描述,发现该漏洞应该是个逻辑漏洞,攻击成功的话很有可能不会出现异常代码。接着整理了一下后台分析数据,发现该异常来自某个OGL.DLL中的某处循环赋值:

CVE-2014-4114_1.jpg

每次执行该指令时,eax的值缓慢增加,最终来到非法页面,引起访问违规,不过word的SEH将该异常和谐掉了,所以前面分析报告链接里的运行过程截图上看不出来。后台分析数据片段:

CVE-2014-4114_2.jpg

看起来很像是遍历数组什么的引起的地址越界错误,跟这个网上对该漏洞的描述很不一致啊。再次上网查询相关资料,发现原来该漏洞在xp系统上无法触发成功……不过这也许正是分析系统捕获到异常代码的原因。

为了获取精确的行为分析结果,将分析镜像换成了win7后再次上传样本,果然拦截到了后续恶意行为,行为关系图如下(由于分析系统与外网隔离,因此把IP地址 94.185.85.122 替换成了192.168.4.252):

CVE-2014-4114.jpg

(详细分析结果:http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?id=59


对于这次0day,个人感觉分析平台的检测结果还不错,在默认的xp镜像上捕获到了异常,在win7镜像上拦截到了完整行为。分析平台还在逐步完善中,欢迎大家试用,并提出宝贵意见!平台试用地址http://tcasoft.com/

评论:

Nie.Meining
2014-10-22 19:19
经过调试分析,访问异常来自于OGL.DLL中的某个容器数据结构的“懒惰处理策略”,即只管装入数据,超出范围引起访问异常后,再在异常处理函数中分配空间。勘误完毕……

发表评论:

Powered by emlog