Microsoft图标显示错误，攻击者可任意隐藏恶意PE文件

xiaohui 系统安全 2017-08-10 11:17:31

132514

导语：Windows中的图标显示错误允许攻击者使用特殊图标伪装PE文件，从本地设备自动“借用”其他常用图标，从而诱惑用户点击它们。

Windows中的图标显示错误允许攻击者使用特殊图标伪装PE文件，从本地设备自动“借用”其他常用图标，从而诱惑用户点击它们。这个漏洞目前已经根植在Windows的图像处理代码中了，根据我的分析，至少从Windows 7开始，该漏洞就已经出现，并且仍然存在于Windows 10的最新版本中。

我已经将该错误于2017年6月向微软正式报告了，而且本文对漏洞的分析也经过了微软的许可。

漏洞的发现

我在研究最近一批恶意PE文件时发现了这个漏洞，将文件从一个目录复制到另一个目录后，我注意到一个奇怪的行为，某些文件的图标已更改。为了排除是漏斗引起的错误，我将文件复制到另一个目录，结果还是和上次一样，这些文件的图标再次被更改为不同的常用图标且和本身的图标完全无关。这引起了我的兴趣，并促成了对这一奇怪现象的调查。

要了解此现象，请查看此视频观看全部过程：

2017年4月份的一批恶意软件包含了几十个cerber 勒索病毒的样品，所有这些样品都显示了这种异常现象。

以下是从这些示例中提取的图标，如Windows资源管理器中所示：

乍一看，人们可能会认为这些只是一堆恶意软件伪装使用了一些常用图标（不过，左上角的Cybereason图标有点奇怪），但是将这些图标转换为不同的内部图像格式（internal image format），图标就显示了其真实形式：

可以看出，这些文件几乎都经过了轻微的随机像素修改，表明它们是自动生成的，以避免基于图标的签名。原来的图标似乎有点奇怪，但是，它绝对是基于Adobe商标，且都是黑白的，但除此之外它是一个有效的图标文件。

以下就是原始的Adobe商标：

然而，虽然许多恶意程序使用被盗的资源来隐藏自己的安全应用程序以防止被人发现，但是出于这种目的的图标并不会是实际显示在屏幕上的图标。除了模仿Adobe图标之外，他们都有一个共同点，就是他们都是真正的单色图标（true monochrome icon TMI）。

TMI是具有两个特定特点的图标，它们只有两种颜色，即它们的像素比特数为1，这两种颜色是完全黑色（0x000000）和白色（0xFFFFFF）。应当注意，图标可以是具有其他颜色的单色，以及黑白但不是单色（即，bpp高于1）。但是，这种现象只发生在真正的单色图标上。

关于图标文件格式的完整文档可以在以下两个连接中找到：

https://msdn.microsoft.com/en-us/library/ms997538.aspx

https://msdn.microsoft.com/en-us/library/windows/desktop/dd183376%28v=vs.85%29.aspx

这是一个从Cerber示例中提取的一个这样的文件：

实验表明，任何TMI都发生了图标切换异常，且都是在不需要特别处理的情况下发生的。为了证明这一点，我使用了十六进制编辑器制作了我自己的空TMI：

然后，我将该图标作为唯一的“hello world”应用程序的图标。而不是单像素单色图标，Windows资源管理器显示如下：

将其重命名在同一目录中后，显示的图标更改为：

发生什么了？

图标伪装过程分析

看起来，问题始于渲染图标的缓存方式，特殊处理TMI接收，这使得它们不会覆盖现有的图标。

Windows资源管理器以及其他应用程序中的任何其他基于资源管理器的框架，使用comctl32.dll（用户体验控制库）中的CImageList类实现图标缓存：

https://msdn.microsoft.com/en-us/library/9xc4z2c7.aspx

缓存是通过将文件的路径映射到CImageList中的索引来实现的（有几个这样的缓存，每个图标都会显示大小）。因此，当查看过去已经呈现其图标的文件时，将从缓存中取出。进程中尚未遇到的路径将需要根据文件类型从头开始渲染，并添加到缓存中。这就是为什么当使用多个图标文件或具有嵌入图标的PE文件查看新目录时，文件会逐渐显示出来。当文件被复制或重命名时，它们的图标将被再次渲染，因为它们将被视为新路径。

然而，这些缓存都很有限且相对较小。当一个新的图标被添加到图像列表中，如果它还不是空的，则使用的索引将为-1，并且将附加新的图标。但是，一旦列表已满，新图标将覆盖之前创建的图标，将其替换为其索引（假定以LRU为基础）。

该逻辑在CImageList :: _ ReplaceIcon函数中实现：