pdf viewer in c# code project : How to copy a picture from a pdf file control Library system web page .net windows console sophos-microsoft-word-intruder-revealed0-part1386

A SophosLabs technical paper - August 2015
Microsoft Word 
Intruder Revealed
By Gabor Szappanos, Principal Researcher, SophosLabs Hungary
How to copy a picture from a pdf file - copy, paste, cut PDF images in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Detailed tutorial for copying, pasting, and cutting image in PDF page using C# class code
copy and paste image from pdf; copying image from pdf to powerpoint
How to copy a picture from a pdf file - VB.NET PDF copy, paste image library: copy, paste, cut PDF images in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
VB.NET Tutorial for How to Cut or Copy an Image from One Page and Paste to Another
how to copy text from pdf image to word; copy paste picture pdf
1
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
Contents
Introduction 
2
MWI History 
3
MWI Characteristics 
5
MWI in commercial malware distribution 
7
MWI Essentials 
9
Exploits and first stage shellcode 
9
Droppers 
13
Downloaders 
14
C & C communication flow 
15
Payload 
18
References 
20
Appendix: Samples 
21
C# PDF insert image Library: insert images into PDF in C#.net, ASP
NET image adding library control for PDF document, you can easily and quickly add an image, picture or logo to any position of specified PDF document file page
copy paste image pdf; paste image into pdf in preview
VB.NET PDF insert image library: insert images into PDF in vb.net
Enable users to insert images to PDF file in ASPX webpage project. Import graphic picture, digital photo, signature and logo into PDF document.
how to paste a picture into a pdf; paste picture into pdf
2
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
Introduction
Virus creation kits are not new: the first ones (VCL, PS-MPC) were 
created in the early 1990s to generate MS-DOS viruses. 
These early virus creation tools were produced so that non-technical hangers-
on could join in the virus-making scene. They no longer needed to know any 
underlying details of the operating system or how to program in assembly 
language. They simply needed to modify a configuration file and run the tool.
As new types of malware appeared, new virus generators followed. We saw 
tools for building Microsoft Office macro viruses (Macro Virus Development 
Kit, Nightmare Joker Word Macro Virus Construction Kit, Word97 Macro Virii 
Construction Kit), Visual Basic Script worms (VBS Worm Generator), DOS batch 
viruses (Batch Virus Construction Kit, Batch Worm Generator) and more.
These days virus creation kits have a totally different purpose: to make 
money. Cybercriminals use underground marketplaces to sell either 
the generators themselves or the generated malware samples.
Microsoft Office malware is no longer as plentiful as it was in the 1990s, but kits still exist 
to generate malware that spreads via documents instead of via programs or script files.
The most influential Office malware creation kit today is 
Microsoft Word Intruder (MWI), developed in Russia. 
Despite its influence, MWI was unknown to the general public until FireEye 
released a blog entry about it early in 2015 [1]. Shortly after that further reports 
surfaced: [8][9][10][21].  (Report [21] does not explicitly mention MWI, but later 
analysis confirms that it deals with malware produced by the MWI kit.)
However, these reports turn out just to be the tip of the iceberg. As we shall see, the 
attacks launched with the help of MWI have usually - and deliberately - been kept small.
Some cybercrime groups seem to be changing their tactics: instead of aiming for 
hundreds of thousands of infected computers in each attack, they are following 
in the footsteps of so-called “state actors” and conducting targeted attacks 
that infect a few thousand, or even just a few hundred, victims at a time.
In this research, we mapped out a wide variety of MWI attacks 
that took place between May and August 2015.
We followed at least a dozen different cybercrime groups that have used the 
MWI malware tools to distribute more than 40 different malware families.
VB.NET Image: Image Cropping SDK to Cut Out Image, Picture and
first! VB.NET Image & Picture Cropping Application. Do you need to save a copy of certain part of an image file in a programming way?
how to copy an image from a pdf file; copy images from pdf to word
C# HTML5 Viewer: Deployment on ASP.NET MVC
under Views according to config in picture above. RasterEdge.XDoc.PDF.HTML5Editor. dll. Open RasterEdge_MVC3 DemoProject, copy following content to your project:
paste image in pdf file; paste image in pdf preview
3
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
MWI history
MWI was developed and advertised in Russia by an 
individual who goes by the handle “Objekt”. 
MWI generates Rich Text Format (RTF) documents that exploit multiple vulnerabilities 
in Microsoft Word. The latest versions support multiple vulnerabilities within the same 
document. Each of the vulnerabilities has its own exploit block; these blocks are stored 
sequentially in the RTF document. This gives a higher chance of success, because 
a victim who has forgotten any one of the needed patches is therefore at risk.
The first version of MWI appeared in May 2013. Originally it only supported the 
CVE-2012-0158 vulnerability; in later versions CVE-2010-3333 was added. 
In December 2013 a third vulnerability, CVE-2013-3906, was introduced 
as a weapon, followed by CVE-2014-1761, added on 08 June 2014.
Note that the continued success of MWI is a sobering sign that a significant 
minority of users are at least 12 months behind on their Microsoft Office 
patches, making life easier than it should be for the cybercriminals.
The first report of malware created by MWI was probably published 
by Kaspersky researchers in August 2013 [3], though it was 
not then obvious that a crimeware kit was involved. 
(If you do not have access to the kit itself, it is difficult to determine the 
extent of its use and to identify exactly the samples generated with it.)
By December 2014, however, as FireEye reported in [1], an add-on module for MWI had 
been released, known as MWISTAT. This module communicates with the servers used for 
the malware command and control (C&C) in order to keep track of infection campaigns. 
This mirrors the techniques we have seen in other exploit kits such as Angler [23].
MWISTAT keeps track of which potential victims have opened booby-
trapped documents by inserting a URL (web link) into the RTF [4] to 
fetch an image, as illustrated in the following screenshot:
VB.NET Image: Image Resizer Control SDK to Resize Picture & Photo
NET Method to Resize Image & Picture. Here we code demo, which you can directly copy to your provide powerful & profession imaging controls, PDF document, image
how to copy and paste a pdf image into a word document; how to copy image from pdf file
VB.NET PDF remove image library: remove, delete images from PDF in
C#.NET PDF pages extract, copy, paste, C# Powerful PDF image editor control, compatible with .NET Support removing vector image, graphic picture, digital photo
cut and paste pdf image; pasting image into pdf
4
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
By comparing the emails sent out in each malware campaign against the list of users who 
fetched the telltale image, and also against the list of users who actually got infected 
as a result, the cybercriminals can keep track of the effectiveness of each campaign.
Knowing the pattern of the embedded document-tracking image enabled us to 
identify some of the latest documents generated with this toolkit. From these 
samples we were able to figure out a set of characteristics to determine which 
malware samples already in our collection had been created with MWI. 
It turned out that there were quite a few of them – we found about 430 
documents that were almost certainly generated with the kit.
The overall document structure, the shellcode and the encryption used for the 
payload were all characteristic indicators in this group of documents.
The oldest sample in our collection that was apparently 
created with MWI was this document:
SHA1: 72ad8436a10eb18e3a65a3bc85380ee165ea29b4 
Original name: VAT Returns Repot 588270334.doc 
First seen: 2013-05-16
The oldest sample used only one vulnerability, CVE-2012-0158, and 
dropped a Zbot variant. Given that the kit itself only became available in May 
2013 [1], we suspect this is one of the first samples ever created. 
The first sample using the most recent vulnerability added to MWI (CVE-2014-1761) 
turned up only two days after official support for this vulnerability was announced:
SHA1: b6d03b9cb1c527989e32136efe0be00b456c658c 
Original filename: UKR news digest_09_10Jun2014.doc 
First seen: 2014-06-10 09:39:21
VB.NET TIFF: How to Draw Picture & Write Text on TIFF Document in
Copy the demo codes and run your project to see New RaterEdgeDrawing() drawing.Picture = "RasterEdge" drawing & profession imaging controls, PDF document, tiff
how to copy and paste an image from a pdf; copying image from pdf to word
VB.NET TIFF: Add New Image to TIFF File in Visual Basic .NET
". When you want to copy an image, graphics How to - Code. Here is a guide for using VB.NET code to append image or picture to TIFF file in .NET applications
paste image into pdf reader; copy pictures from pdf to word
5
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
MWI characteristics
MWI can generate two different sorts of infectious document: droppers and downloaders.
Droppers are self-contained installers that deliver malware packaged right into the booby-
trapped RTF document itself. Downloaders connect to a URL that is embedded in the 
RTF file and fetch the malware from there.  We found more droppers than downloaders.
Dropper
59%
Downloader
41%
One weakness in MWI is that it doesn’t support what are known as decoy documents
Decoys are typically packaged into infected Word documents and displayed during 
the infection process, thus giving the booby-trapped file an air of legitimacy. 
(Additionally, when a Word-based exploit succeeds, Word often hangs or 
crashes, a telltale sign that is disguised by the appearance of the decoy.)
In a few cases, the criminals worked around this shortcoming by programming a 
decoy document into the malware that was dropped or downloaded by MWI.  
In one example, the malware dropped by MWI was a self-extracting RAR archive 
that contained two files: a decoy document, and a second piece of malware. 
The RAR self-extractor was configured to open both files silently:
6
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
As a result, Word opened the decoy document after MWI had done its dirty work.
Another weakness of MWI (not admitted by the author) was its poor reliability. 
As we mentioned above, and described in an earlier paper [6], more recent versions of MWI include 
as many as four different exploits in order to increase the chance of finding one that works.
But some MWI versions string together these exploits in such a way that if the first exploit fails, 
Word loses track of its place in the RTF file and doesn’t try any of the subsequent exploits. This 
means that the file only contains one functional exploit; all the others are effectively wasted.
Detailed analysis revealed that nearly 50% of the MWI samples had this flaw, 
although the flaw was (at least partially) fixed in later versions.
Not
Working
48%
Working
52%
7
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
MWI in commercial malware distribution
Analyzing the exploit usage distribution in our 2014Q1 
report [5], we made the observation that: 
…the chart was topped by an interesting combination where both CVE-2010-
3333 and CVE-2012-0158 and were exploited within the same document; 
this method was predominantly used to distribute Zbot variants.
Revisiting these samples reveals what caused the “interesting 
combinations” – those samples were in fact generated by MWI.
In other words, it seems that MWI had already made a name for itself 
in the cybercriminal underground by early 2014, by which time it 
dominated the statistics for document-based malware delivery.
In our conclusion we suggested that:
…Exploited documents, once used almost exclusively from players in the APT 
scene, are now used routinely in the sort of malware that is distributed widely 
by money-seeking cybercriminals.
Now it is clear that this is because of the development and widespread use of MWI.
Interestingly, MWI’s dominance had faded away by the end of 2014, apparently by design.
Due to the above-mentioned success of MWI in early 2014, when 
booby-trapped documents were being distributed in large-volume 
email scam campaigns, MWI attracted unwanted attention.
Even before we were aware of MWISTAT and the way in which it could be used 
to trace MWI-generated samples, we were nevertheless able to detect and 
8
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
block an increasing number of MWI-generated samples proactively. This, in 
turn, forced Objekt to keep updating MWI to try to sidestep detection.
In the end, it seems that Objekt decided to step out of this arms race by changing 
his terms and conditions, limiting the use of MWI to low volume attacks [2]:
1.  Exploit DESIGNED EXCLUSIVELY FOR POINT (“Targeted”, 
“TARGET”) attacks. INDICATIVE PRICE FOR BUILDER: 140$
2.  Exploit THIS DOES NOT QUALIFY FOR SPAM AND MASSIVE 
ATTACK! FOR THIS WE HAVE A SEPARATE DECISION.
Presumably, he hoped that this would let him “fly under the radar,” and 
perhaps to avoid detection for long enough to keep on making money.
9
A SophosLabs technical paper - August 2015
Microsoft Word Intruder Revealed
MWI essentials
This section will detail the working of the documents generated by Microsoft 
Word Intruder, and show the characteristics that enabled us to pick out MWI-
generated documents from our sample set of document malware. 
These characteristics are:
Ì The position and encryption algorithm of the payload.
Ì The “egg-hunting” part of the MWI shellcode.
Ì The use of Windows Management Instrumentation (WMI) to run the delivered malware.
Exploits and first stage shellcode
The overall document structure of the MWI generated samples (at 
least of the latest ones) is illustrated in the following picture.
CVE-2012-0158 
exploit and egghunting shellcode
CVE-2013-3906 
exploit and egghunting shellcode
CVE-2014-1761 
exploit and egghunting shellcode
Encrypted Zbot
The malicious RTF documents begin with the start marker and the 
encrypted payload. As we mentioned earlier, MWI samples either embed the 
executable payload directly (a dropper), or use shellcode that downloads 
and runs the payload from an embedded URL (a downloader). 
The next malicious components in the RTF file are the exploit blocks. Each of 
the exploit blocks tries to trigger a Word vulnerability in order to run a fragment 
of shellcode. Although each exploit includes its own shellcode, these shellcodes 
are all essentially the same: they find and run the next part of the attack.
Documents you may be interested
Documents you may be interested