专栏首页安恒信息APT预警:CVE-2017-11882的两种变式攻击

APT预警:CVE-2017-11882的两种变式攻击

  近段时间APT预警平台(威胁分析平台)捕获了一些CVE-2017-11882的变化利用样本,这些变化利用能一定程度上绕过杀毒软件的检测。

这里列举两种变式。

样例1

该样本只有一个objdata对象并内嵌入了一个PE文件(该PE文件的功能为远程下载执行),并对该PE的头部进行了修改。

 当rtf文档点击执行时,会触发EQNEDT32.EXE的栈溢出漏洞,shellcode执行利用时会跳转到嵌入的PE文件的文件头去执行。

该PE文件的头部做过处理会跳转到自身的text区段执行正常功能的代码。

该PE文件的功能比较简单,仅为下载远程文件并执行。

  而该样本的另一个特色就是把远程文件的地址直接写在了代码段的尾部。

 只要修改远程文件的地址即可生成新的利用样本。

  经过一定的关联分析,这类样本有可能与Silent Exploit Builder 工具有关。

 不过该类样本的检出率还是比较高的,并没有做过多的混淆处理,多家杀毒软件都可以检测到。

IOC:

MD5: 563d70be4b9eb4f5f0060d1b3c7a9ce5

URL:http://mcts-qatar.com/wp-includes/SimplePie/ogi.exe

该样本是3个远程控制木马,分别是跨平台远程控制木马jRat、Xtreme远控、Loki远控,其中关于Loki远控的分析以及loki远控的漏洞利用部分内容太多,可通过点击文章末尾的“阅读原文”进行查看,强烈建议查看。

样例2

该样本看上去非常干净,仅有一个objdata对象,而且不包含其它元素,并抹除了Equation.3等关键字字段。

该样本是一个比较纯粹的shellcode利用,当rtf文档运行起来后,触发EQNEDT32.EXE的栈溢出,接着跳转到shellcode进行执行。

该样本使用的shellcode有一定的混淆能力,使用大量无用的jmp指令来混淆shellcode的运行。

 但shellcode的功能比较常规,先解密出远程文件地址,接着解密出关键函数,再找到关键函数地址,然后就是远程下载执行。

 该样本确实在绕过检测方面做了一些处理。抹除掉了一些关键字,对利用的shellcode也进行了一定程度的混淆。

在检测率方面,从virustotal上看,3月19日起初仅有6家能检测到,后变更为10家能够检测到。

而目前为止也仅有13家杀毒软件可检测,并对命名表示存疑。

如此看来,这款新样例还存在一定的潜力。

IOC:

MD5:a73b77ddc811f4acadac09054a9f0874

URL: https://mal-noticesub.ml/voc/gos/me.exe

小结

从APT预警平台观察到CVE-2017-11882被大量利用,不乏多种变式,需提高警惕。如遇陌生邮件包含可疑附件,请谨慎点击。

本文分享自微信公众号 - 安恒信息(DBAPP2013),作者:安全研究院

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-03-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 一次开发的意外逆向之旅

    笔者最近从事windows内核开发的时候因为功能需要,所以需要对PspSetCreateProcessNotifyRoutine回调函数数组进行遍历,于是笔者照...

    安恒信息
  • 当心,Kaskitya木马伪装成“京卡-互助服务卡”欺骗用户!

    最近,我们关注到一起APT攻击事件,攻击者通过钓鱼邮件的方式投递含有恶意代码的附件,此附件包含一个名叫“Kaskitya”的木马。

    安恒信息
  • EMV芯片卡存重大安全隐患 每张卡最高可窃取100万

    传统磁条卡存在极大的安全隐患,在窃取磁条信息后黑客能非常方便进行复制进行消费,为此美国宣布自2015年10月1日开始禁止使用磁条卡,转而使用更加安全的EMV芯片...

    安恒信息
  • Python入门之函数的介绍/定义/定义类型/函数调用/Return

     本篇目录:     一、 函数的介绍     二、 函数的定义     三、 定义函数的三种类型     四、 函数调用的阶段     五、 Return返回...

    Jetpropelledsnake21
  • Python学习笔记4:函数

    我们在初高中的时候就已经接触函数(function)的概念,,比如二次函数、三角函数等,其基本形式为y=f(x),主要作用是按照某个规则对x进行计算,得到y值。...

    光学小豆芽
  • Scala 最佳实践:纯函数

    我们所处的是一个命令式编程(imperative programming)的时代,这也是我们为何更喜欢用命令式风格写代码的原因。在我们周围的一切都是可变的。虽然...

    用户1558438
  • KVM 实战虚拟机克隆

    KVM克隆虚拟机 使用克隆的方式保存两台vm配置完全一致。 暂停虚拟机(suspend)用于克隆 [root@sh-kvm-2 ~]# virsh sus...

    shaonbean
  • responder初体验

    responder 是 @kennethreitz 新开发的一个项目, 是一个基于 Python 的 HTTP 服务框架. 底层用了 Starlette 的框架...

    用户1416054
  • 线性分类器-中篇

    导读: 神经网络 反向传播算法 线性分类器-上篇 1 损失函数 在上一节定义了从图像像素值到所属类别的评分函数(score function),该函数的参数是权...

    昱良
  • 关于C++中的friend友元函数的总结

    在实现类之间数据共享时,减少系统开销,提高效率。如果类A中的函数要访问类B中的成员(例如:智能指针类的实现),那么类A中该函数要是类B的友元函数。 具体来说:为...

    用户7886150

扫码关注云+社区

领取腾讯云代金券