打开文档变肉鸡:潜伏17年的“噩梦公式”Office漏洞攻击分析

--------------------转载自freebuf

微软的11月份的安全补丁包含了一个隐藏17年之久的Office远程代码执行漏洞(CVE-2017-11882),该漏洞影响目前所有流行的Office软件。360核心安全高级威胁应对团队持续跟踪和关注该漏洞的进展,并于北京时间11月21日18点45分全球首次截获到了该漏洞的真实攻击!攻击者可以利用该漏洞向中招用户电脑中植入远控木马或后门程序等恶意程序。

360核心安全高级威胁应对团队在蜜罐中捕获到的攻击实例

该漏洞所利用的是微软Office程序的一个名为“EQNEDT32.EXE”的组件。看到这个程序名大家可能会比较陌生,但它的另一个名字大家就会很熟悉了——“公式编辑器”。这次出现的漏洞攻击,就是针对公式编辑器发起的。故此,我们也将该漏洞称之为“噩梦公式”漏洞。

公式编辑器

当用户打开被黑客精心设计过的恶意文档时,文档代码会在无需用户手动启动公式编辑器的情况下自动触发漏洞。

从我们截获到的样本分析发现,该样本会下载远程服务器上的恶意hta程序到本地执行,并进一步下载更多恶意程序到用户机器上并执行。而后续的这些恶意程序可完全控制用户计算机,盗取用户的个人隐私,严重威胁用户的信息安全。

从打开恶意文档到黑客完全控制计算机的流程

而从中招用户角度看,从打开文档直到被用户控制,整个过程几乎是没有任何感知的。一切的行为都是在系统中静悄悄的就完成了。下图就是因漏洞触发而被加载的hta程序的内容。

hxxp://188.166.***.213:9999/abc代码截图

该hta程序调用powershell.exe执行位于hxxp://188.166.***.213/a上的powershell脚本,该脚本内容如下所示。

powershell脚本内容

该脚本是一个通过base64编码并通过gzip压缩的payload,解码并解压后的脚本内容如下图示。

解码并解压后的脚本内容

脚本将申请一段内存,写入shellcode并执行,shellcode通过base64编码,解码后如下图所示。

写入内存中执行的shellcode

该shellcode是通过metasploit生成的反弹shell的shellcode,C&C地址为188.166.***.213。

此外,还发现另一例利用该漏洞传播远控木马的攻击实例。攻击者同样是利用漏洞执行服务器上的hta程序,地址为hxxp://210.245.***.178/23.hta。

另一攻击实例使用的hta程序

该hta程序通过bitsadmin下载hxxp://210.245.***.178/office.exe到本地C盘根目录下并命名为baidu.exe,并执行该程序。

该程序是个远控木马,接收控制端传递的指令执行相应功能。C&C地址为210.245.***.178。

远控木马接收控制端发送的指令

由于办公文档不是可执行程序,人们在查看doc等文档文件时会放心打开。但是当Office办公软件存在漏洞时,原本“无毒无害”的文档也会成为黑客的致命武器。Office用户应及时安装微软11月补丁,从而彻底免疫“噩梦公式”漏洞。

目前微软只对Office2007 sp3及以上版本提供补丁,部分还在流行的老版本Office没有补丁。360安全卫士已实现对此漏洞的“无补丁防护”,可以拦截“噩梦公式”漏洞攻击,确保老版本Office用户的电脑安全。

关于具体的利用我已在其他网站写了教程,大家可以去看看。。(干货)

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

动手搭建DDoS演练 | 揭秘在线DDoS攻击平台(下)

*本文原创作者: ArthurKiller 注:本文主张交流与科研学习,请勿对该技术进行恶意使用!本平台及作者对读者的之后的行为不承担任何法律责任。 前言 在上...

1.3K9
来自专栏云资讯小编的专栏

腾讯安全反病毒实验室解读“Wannacry”勒索软件

MS17-010 漏洞指的是,攻击者利用该漏洞,向用户机器的 445 端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收...

5240
来自专栏FreeBuf

利用旧版Android漏洞的E-Z-2-Use攻击代码已在Metasploit发布

利用旧版Android漏洞的E-Z-2-Use攻击代码发布利用Android操作系统WebView编程接口漏洞的攻击代码已作为一个模块加入到开源漏洞利用框架Me...

1846
来自专栏HTML5学堂

windows系统 | 修改端口,预防比特币病毒入侵

HTML5学堂-码匠:windows系统,请做好比特币病毒(勒索病毒)的预防,保护好自己的电脑!!! 比特币病毒是什么 “比特币病毒”被大家称为“最邪恶的勒索病...

3386
来自专栏企鹅号快讯

黑客界在平常交流的一些专业术语介绍

每天都有人问我,黑客是什么,黑客有什么术语,或者遇到黑客,我应该怎么做,我在这里也给感兴趣的朋友普及一点小知识,黑客有很多的术语,下面我会给大家介绍黑客经常用到...

17810
来自专栏云鼎实验室的专栏

事件分析 | 一键安装藏隐患,phpStudy 批量入侵的分析与溯源

近日,腾讯安全云鼎实验室监测到大量主机被入侵并添加了一个名为“vusr_dx$”的隐藏帐号;同时,云鼎实验室还监测到此类帐号被大量创建的同时存在对应帐号异地登...

1242
来自专栏云鼎实验室的专栏

蜜罐实例分析 : 一款针对树莓派微型蠕虫样本捕获分析记录

笔者试着在腾讯云公有云上部署了两台机器,一台 WindowsServer、一台 Ubuntu 。这两台机器通过 FileBeat 和 WinLogBeat 以及...

5451
来自专栏FreeBuf

一款高度可定制的WiFi钓鱼工具 – WiFiPhisher

工具简介 WiFiPhisher是一款高度可定制的WiFi钓鱼攻击工具,它可以对具体的WiFI客户端进行攻击,例如获取用户凭证或感染恶意软件。与其他攻击不同的是...

24810
来自专栏FreeBuf

揭秘:针对中国移动用户的强大网银木马剖析

我们最近遇到一个安卓平台的网银木马,该木马主要瞄向中国的移动用户,检出率很低。该安卓木马能够拦截短信并寻找特定的关键字,盗取用户网银信息。此外,它还会从用户的移...

1677
来自专栏中国白客联盟

linux两个好玩的漏洞:长按回车绕过+按28次Backspace键

第一个漏洞,也是最近出的 一:Linux爆新漏洞,长按回车键70秒即可获得root权限 按住回车70秒,黑客就在linux系统绕过认证,从而获取root权限,...

3496

扫码关注云+社区