腾讯反病毒实验室预警:CVE-2017-11882漏洞最新利用方法
来源:互联网 发布:天猫淘宝商城女装冬装 编辑:程序博客网 时间:2024/06/05 01:48
概述
此前,腾讯反病毒实验室第一时间跟进了CVE-2017-11882漏洞,并率先发布了预警和样本分析;刚刚,腾讯反病毒实验室再次发现了针对该漏洞利用的最新利用方法,可以将可执行程序直接嵌入到钓鱼文档中,运行文档时会直接运行嵌入到文档中的恶意exe文件。
这种最新利用方法与之前的利用方式最大的不同在于:以往的利用都是通过恶意文档加载mstha或者powershell或者cmd等程序从网络加载恶意程序,而此次发现的利用方式则会直接运行恶意程序。也就是说在用户断网的情况下,以往通过网络下发恶意脚本的攻击方式会失效,而最新利用方法则不需要连网操作,断网情况下仍然可以达成有效攻击,这种攻击情景对于传播勒索软件十分有效。
在这种最新利用方法下,用户运行恶意文档时,嵌入到文档中的恶意程序会自动加载。整个过程中无需用户干预,在攻击效果上堪比CVE-2012-0158漏洞,该漏洞很有可能会成为各大APT组织的必备漏洞利用库之一,应引起足够重视。
分析
针对该种利用方法的恶意文档,主要有两个部分组成:一是package对象,用来将恶意程序释放到临时目录下的指定文件名。二是公式组件,用来触发漏洞,加载临时目录下的指定文件名的文件执行。
我们以其中一个样本为例进行分析。在该Rtf文件中,包含有2个objdata对象
将两个对象保存出来后,发现其中一个为Package对象,其内部嵌入了一个PE文件。
通过对Package对象结构分析可以发现,Package对象的主要的几个数据结构如下
这些字段表明在该文档被打开时,会将该package对象的数据部分释放到临时目录下的jjjjjjjjjjjjjjjjjjj.j文件中。
而另一个objdata用来触发漏洞。漏洞触发成功后,会直接加载临时目录下的jjjjjjjjjjjjjjjjjjj.j执行。
恶意样本通过将package对象与CVE-2017-11882漏洞结合起来,package对象负责将恶意程序释放到指定名称目录下,CVE-2017-11882漏洞负责加载恶意程序执行,两者相互配合达成攻击目的。
总结
在腾讯反病毒实验室捕获的最新的利用样本中,winword进程加载的程序只是putty.exe和hijack.exe,这表明黑客正在对这种利用方式进行测试,但从样本利用效果上看,这种攻击方式十分有效,腾讯反病毒实验室预测该方法此后将会被越来越多的黑客用来传播勒索软件,请广大用户及时升级补丁,安装腾讯电脑管家等安全软件进行防护。目前腾讯哈勃分析系统(https://habo.qq.com/)已经可以识别此类攻击手法,对于可疑文档文件,也可通过腾讯哈勃分析系统进行扫描判别。
*本文作者:腾讯电脑管家;转载请注明来自 FreeBuf.COM
- 上一篇:打开文档变肉鸡:潜伏17年的“噩梦公式”Office漏洞攻击分析
- 下一篇: 苹果发布安全更新!现已修复macOS中的USB代码执行漏洞
已有 9 条评论
y11en 2017-11-23回复1楼很强,利用OLE的对象释放功能
亮了(3)
test 2017-11-23回复2楼哦 自己构造的吧
亮了(0)- 呵呵,腾讯 2017-11-23回复3楼
明明是我360先,何来率先?
亮了(15) 
softbug
(7级) 011101000110100001100001011011... 2017-11-24回复4楼这就是最新利用方法???逗逼
亮了(4)
lr3800_ (4级) 这家伙太懒了,他不想写个人描述! 2017-11-24 回复5楼package对象的数据部分释放到临时目录是怎么实现的 能不能细说一下
亮了(0)
brucelee 2017-11-24回复@ lr3800_ 直接将指定的payload当作package对象插入就ok了,好像 xp上无效,win7以上才有效。
亮了(0)
biock (2级) 2017-11-24 回复6楼这是我看到的最新利用方法没有之一,压根没有看懂。
亮了(2)- cgf99 (2级) 2017-11-24 回复7楼
package 对象插入的时候,文档里有个图标,该样本有隐藏该图标吗?
亮了(0) - 大屌 2017-11-24回复8楼
电脑管家,呵呵呵,先解决全家桶再说。
亮了(1)
- 腾讯反病毒实验室预警:CVE-2017-11882漏洞最新利用方法
- 漏洞预警+Samba远程代码执行漏洞(CVE-2017-7494)
- 8.31病毒预警:利用微软漏洞攻击的病毒增多
- 利用CVE-2017-11882漏洞利用的恶意样本分析
- 腾讯反病毒实验室:深度解析AppContainer工作机制
- 腾讯安全反病毒实验室解读“Wannacry”勒索软件
- 腾讯安全反病毒实验室:CIA大规模数据泄露揭秘
- 腾讯安全反病毒实验室:小心隐私生活被直播!
- 【高危漏洞预警】CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052)
- CVE-2017-11826漏洞利用样本分析
- 【首发】Petya勒索病毒爆发,腾讯安全反病毒实验室首发技术分析
- 腾讯反病毒实验室马劲松:WannaCry勒索病毒将成为网络安全分水岭
- 勒索病毒阻击战取得新突破,腾讯反病毒实验室成功解密被锁XP系统
- 腾讯反病毒实验室:揭秘WannaCry勒索病毒的前世今生
- Nginx range过滤器整形溢出漏洞 (CVE–2017–7529)预警分析
- 基于流量的CVE-2014-0160漏洞利用检测方法
- linux(CVE-2010-3847)漏洞和利用方法
- 腾讯安全反病毒实验室:“敲诈者”黑产研究报告
- TabLayout设置TabView宽度、下划线宽度和字体大小
- RadioButton图片和文字水平排列居中实现
- ubentu下设置默认root密码
- 数据备份
- 一个JAVA程序员成长之路分享
- 腾讯反病毒实验室预警:CVE-2017-11882漏洞最新利用方法
- JavaScript 动画之鼠标放大div
- 如何解决web项目跨域问题
- java String
- ORACLE 表空间扩展方法
- php导出exce时单元格中存在html代码
- 深度C++17:if(init;condition)
- host文件的工作原理及应用
- Scrapy爬虫(3)爬取中国高校前100名并写入MongoDB
这些评论亮了