专栏首页FreeBufNDAY漏洞CVE-2017-11882新变异样本分析

NDAY漏洞CVE-2017-11882新变异样本分析

0x0 基本情况

最近截获一个QUOTATION.doc文档,重新命名为virus.doc,其实际为RTF文档。winword.exe进程打开后,执行EQNEDT32.EXE进程,其中exe远程下载和运行的动作由EQNEDT32.EXE进程来完成。我们知道,EQNEDT32.EXE为公式编辑器,在Office的安装过程中被默认安装。前期与之相关的漏洞主要为CVE-2017-11882和CVE-2018-08082。

与上一篇文章《一个CVE-2017-11882漏洞新变异样本的调试与分析》https://www.freebuf.com/vuls/190397.html中的样本相比,本次样本RTF格式更加怪异,下面来看看具体的分析情况。

0x1 文件格式

1、静态文件

利用winhex查看该文件,发现其是一个rft1开始的RTF格式文件,不过该文件与之前分析的CVE-2017-11882样本相比,显得较为怪异,没有包含OLE结构。

该RTF文件格式非常简单,如下图是文档头部,中间数据则全都是16进制字符串,结尾以字符串“}\objupdate688639934}}”结尾。

2、查杀情况

利用文件HASH值,在totolvirus查询,发现该样本10月9日上传,57款杀软有11款已经查杀,其中McAfee-GW-Edition、Ikarus、McAfee、AhnLab-V3、ESET-NOD32识别为CVE-2017-11882漏洞,如下图所示:

3、RTFOBJ工具分析

利用RTFOBJ工具分析,结果如下:

其中导出的virus.doc_object_0000006C.bin不是正常的OLE结构。

0x2 文档动作

利用Procmon监控,发现winword.exe执行后,启动EQNEDT32.EXE。EQNEDT32.EXE进程远程下载PE文件并保存为本地%appdata%目录下:bobyen23534.exe。如下图所示:

抓包发现PE下载地址为:http://modexcourier.eu/bobbye/bobbye.exe,如下图所示:

bobyen23534.exe进程运行后即退出。

下载后的bobyen23534.exe根据HASH在totolvirus搜索,大部分指向的是Trojan木马文件,如下图所示:

0x3 样本调试

我们知道,漏洞利用EQNEDT32.EXE进程的栈溢出漏洞,调试其溢出点,如下图所示:

经过拷贝动作后,栈被覆盖。

我们来看这段数据在RTF中的位置,该段数据在开头0x128处,如下图所示:

这段代码是第一段shellcode,用于栈溢出后跳转。

这是典型的栈溢出利用。其中0x00433d49用于覆盖0x41160F函数返回地址,当函数0x41160F返回的时候,跳转到0x00433d49处执行,而EQNEDT32.EXE进程中,0x00433d49处所在的值是0xC3,也就是汇编代码retn。

因此,0x00433d49执行后,会返回到当前栈地址执行,也就是0018f354处的代码(第一段shellcode)。

第一段shellcode执行后,跳转到第二段shellcode处执行,我们来看第二段shellcode的内容。

其所在的文件中的位置是:0xA8FDE处,两者对应如下图所示:

第二段shellcode执行后,开始对其自身的内容做解密操作,如下图所示的汇编代码。

解密的算法是:

解密前的内容如下图所示:

解密后的内容如下图所示:

该段shellcode正是下载运行的功能代码。

对比上一篇文章https://www.freebuf.com/vuls/190397.html分析的样本,解密后的shellcode基本上是一致的,主要变化只是加解密算法中的常量值进行了更换。

上篇文章中的加解密算法为:

至此,样本基本调试分析完毕。

0x4 小结

1、CVE-2017-11882漏洞由于稳定、效果好等特点,经久不衰。 2、CVE-2017-11882漏洞变异样本层出不穷。 3、及时更新补丁,打开不明文档要谨慎小心。

*本文原创作者:cgf99,本文属于FreeBuf原创奖励计划,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf),作者:cgf99

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-10-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 儿童游戏软件中隐藏着Tekya木马风险预警

    广告软件通常通过弹出式窗口、横幅广告、内文链接等广告方式来呈献广告内容,主要是为了提高相关网站、产品知名度。这能为软件开发商带来一定的广告收入。而广告木马软件则...

    FB客服
  • 记一次应急中发现的诡异事件

    在一次应急响应中,无意发现来自不同地区和人员的攻击,两种留后门的方法,截然不同的操作,不同的技术手法。

    FB客服
  • 还在用工具激活系统?小心被当做矿机!

    近日,深信服EDR安全团队捕获到一个伪装成激活软件WindowsLoader的病毒样本。经分析,该样本并没有激活功能,其主要功能是安装广告软件以及挖矿程序。

    FB客服
  • [mini-blog]基于云开发的博客小程序使用教程

    nodejs环境「云开发&调试需要使用到nodejs环境」,若第一次进行安装,可自行google安装教程

    Bug生活2048
  • 46.QT-自带库QSerialPort串口使用

    之前一章学习的是第三方库使用: 34.QT-qextserialport第三方库制作串口助手(并动态检测在线串口,附带源码)

    张诺谦
  • C++primer学习笔记(四)

    震八方紫面昆仑侠
  • 回文对

    给定一组唯一的单词, 找出所有不同 的索引对(i, j),使得列表中的两个单词, words[i] + words[j] ,可拼接成回文串。

    你的益达
  • 腾讯微云 智能扫描

    腾讯ISUX
  • gulp的使用

    在项目路径下使用 npm init初始化之后,将下面需要安装的依赖复制到package.json文件中

    bering
  • 0784-CDP安全管理工具介绍

    本文档描述如何使用多种安全管理工具来保护CDP环境。重点介绍安全管理工具与CDP环境之间的集成点,但不会探讨这些工具的核心功能。

    Fayson

扫码关注云+社区

领取腾讯云代金券