APT预警:CVE-2017-11882的两种变式攻击

　　近段时间APT预警平台(威胁分析平台)捕获了一些CVE-2017-11882的变化利用样本，这些变化利用能一定程度上绕过杀毒软件的检测。

这里列举两种变式。

样例1

该样本只有一个objdata对象并内嵌入了一个PE文件(该PE文件的功能为远程下载执行)，并对该PE的头部进行了修改。

　当rtf文档点击执行时，会触发EQNEDT32.EXE的栈溢出漏洞，shellcode执行利用时会跳转到嵌入的PE文件的文件头去执行。

该PE文件的头部做过处理会跳转到自身的text区段执行正常功能的代码。

该PE文件的功能比较简单,仅为下载远程文件并执行。

　　而该样本的另一个特色就是把远程文件的地址直接写在了代码段的尾部。

　只要修改远程文件的地址即可生成新的利用样本。

　　经过一定的关联分析，这类样本有可能与Silent Exploit Builder 工具有关。

　不过该类样本的检出率还是比较高的，并没有做过多的混淆处理，多家杀毒软件都可以检测到。

IOC:

MD5: 563d70be4b9eb4f5f0060d1b3c7a9ce5

URL:http://mcts-qatar.com/wp-includes/SimplePie/ogi.exe

该样本是3个远程控制木马，分别是跨平台远程控制木马jRat、Xtreme远控、Loki远控，其中关于Loki远控的分析以及loki远控的漏洞利用部分内容太多，可通过点击文章末尾的“阅读原文”进行查看，强烈建议查看。

样例2

该样本看上去非常干净，仅有一个objdata对象，而且不包含其它元素，并抹除了Equation.3等关键字字段。

该样本是一个比较纯粹的shellcode利用，当rtf文档运行起来后，触发EQNEDT32.EXE的栈溢出，接着跳转到shellcode进行执行。

该样本使用的shellcode有一定的混淆能力，使用大量无用的jmp指令来混淆shellcode的运行。

　但shellcode的功能比较常规，先解密出远程文件地址，接着解密出关键函数，再找到关键函数地址，然后就是远程下载执行。

　该样本确实在绕过检测方面做了一些处理。抹除掉了一些关键字，对利用的shellcode也进行了一定程度的混淆。

在检测率方面，从virustotal上看，3月19日起初仅有6家能检测到，后变更为10家能够检测到。

而目前为止也仅有13家杀毒软件可检测，并对命名表示存疑。

如此看来，这款新样例还存在一定的潜力。

IOC:

MD5:a73b77ddc811f4acadac09054a9f0874

URL: https://mal-noticesub.ml/voc/gos/me.exe

小结

从APT预警平台观察到CVE-2017-11882被大量利用，不乏多种变式，需提高警惕。如遇陌生邮件包含可疑附件，请谨慎点击。