APT预警:CVE-2017-11882的两种变式攻击

  近段时间APT预警平台(威胁分析平台)捕获了一些CVE-2017-11882的变化利用样本,这些变化利用能一定程度上绕过杀毒软件的检测。

这里列举两种变式。

样例1

该样本只有一个objdata对象并内嵌入了一个PE文件(该PE文件的功能为远程下载执行),并对该PE的头部进行了修改。

 当rtf文档点击执行时,会触发EQNEDT32.EXE的栈溢出漏洞,shellcode执行利用时会跳转到嵌入的PE文件的文件头去执行。

该PE文件的头部做过处理会跳转到自身的text区段执行正常功能的代码。

该PE文件的功能比较简单,仅为下载远程文件并执行。

  而该样本的另一个特色就是把远程文件的地址直接写在了代码段的尾部。

 只要修改远程文件的地址即可生成新的利用样本。

  经过一定的关联分析,这类样本有可能与Silent Exploit Builder 工具有关。

 不过该类样本的检出率还是比较高的,并没有做过多的混淆处理,多家杀毒软件都可以检测到。

IOC:

MD5: 563d70be4b9eb4f5f0060d1b3c7a9ce5

URL:http://mcts-qatar.com/wp-includes/SimplePie/ogi.exe

该样本是3个远程控制木马,分别是跨平台远程控制木马jRat、Xtreme远控、Loki远控,其中关于Loki远控的分析以及loki远控的漏洞利用部分内容太多,可通过点击文章末尾的“阅读原文”进行查看,强烈建议查看。

样例2

该样本看上去非常干净,仅有一个objdata对象,而且不包含其它元素,并抹除了Equation.3等关键字字段。

该样本是一个比较纯粹的shellcode利用,当rtf文档运行起来后,触发EQNEDT32.EXE的栈溢出,接着跳转到shellcode进行执行。

该样本使用的shellcode有一定的混淆能力,使用大量无用的jmp指令来混淆shellcode的运行。

 但shellcode的功能比较常规,先解密出远程文件地址,接着解密出关键函数,再找到关键函数地址,然后就是远程下载执行。

 该样本确实在绕过检测方面做了一些处理。抹除掉了一些关键字,对利用的shellcode也进行了一定程度的混淆。

在检测率方面,从virustotal上看,3月19日起初仅有6家能检测到,后变更为10家能够检测到。

而目前为止也仅有13家杀毒软件可检测,并对命名表示存疑。

如此看来,这款新样例还存在一定的潜力。

IOC:

MD5:a73b77ddc811f4acadac09054a9f0874

URL: https://mal-noticesub.ml/voc/gos/me.exe

小结

从APT预警平台观察到CVE-2017-11882被大量利用,不乏多种变式,需提高警惕。如遇陌生邮件包含可疑附件,请谨慎点击。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-03-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏ATYUN订阅号

腾讯开源围棋AI程序PhoenixGo,复现AlphaGo Zero

PhoenixGo是一个围棋AI程序,它执行AlphaGo Zero论文“掌握无人知识的Go游戏”。它也被称为FoxGo中的“BensonDarr”,CGOS中...

2402
来自专栏美团技术团队

基于rsync的文件增量同步方案

背景 犀牛云盘是美团点评内部一个基于美团云的文件协作平台,核心是文件的结构化云存储以及上传和下载的体验优化。文件同步是云盘功能的重要部分(包括文件内容的同步和文...

7614
来自专栏小白课代表

Autodesk Revit 2015安装教程

Revit是Autodesk公司一套系列软件的名称。Revit系列软件是专为建筑信息模型(BIM)构建的,可帮助建筑设计师设计、建造和维护质量更好、能效更高的建...

721
来自专栏机器之心

专栏 | 想免费用谷歌资源训练神经网络?Colab详细使用教程

62011
来自专栏计算机视觉战队

NVIDIA DIGITS(非常好用的一个框架)

我也忘了在哪里看过几篇类似的文章,为了让更多朋友知道这个好工具,我今天也作为一名合格的搬运工,希望大家努力传播正能量,和大家共同进步!谢谢! NVIDIA为...

4235
来自专栏腾讯安全应急响应中心

短网址安全浅谈

何谓短网址(Short URL)?顾名思义,就是形式上比较短的网址,当前主要是借助短网址来替代原先冗长的网址,方便传输和分享。短网址服务也就是将长网址转换为短网...

4340
来自专栏UUG深圳

高性能diff&patch算法 -- 如何将微信Apk的官方增量包20.4M缩小到7.0M

7158
来自专栏Spark学习技巧

如何理解Linux中的load averages?

经常和 Linux 打交道的童鞋都知道,load averages 是衡量机器负载的关键指标,但是这个指标是怎样定义出来的呢?

922
来自专栏FreeBuf

藏匿在邮件里的“坏小子”

不知从什么时候开始,我的垃圾邮件开始暴增,而且主题千奇百怪,有“再也不用去澳门赌博”、“免保人、免抵押”…等推广主题;有“南北方压岁钱差距有多大?”、“爱过才知...

1548
来自专栏张戈的专栏

解决Crayon Syntax Highlighter代码高亮与fancybox图片暗箱冲突问题

其实,这是一个历史遗留问题,在最开始建站的时候就已经出现了,在知更鸟主题和 Crayon Syntax Highlighter 这个插件之间,我最终选择了前者。...

2844

扫码关注云+社区

领取腾讯云代金券