欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

最新曝光的RTF漏洞题外运用研究探讨专题指南

来源:本站整理 作者:佚名 时间:2017-09-21 TAG: 我要投稿

0×1 详情
最近几天,腾讯电脑管家捕捉到一个新的office文档病毒样本,经阐发为9月12号刚被微软修复的.NET Framework漏洞破绽bug(CVE-2017-8759)的田野入侵攻击样本。该漏洞破绽bug跟以前的rtf漏洞破绽bug(CVE-2017-0199)同样,只需用户关上恶意病毒木马的Office文档就会中招。
0×2 CVE-2017-8759漏洞破绽bug履行阐发
CVE-2017-8759本质上是一个.net framework漏洞破绽bug,影响所有主流的.NET Framework版本:
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.6.1
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.7
Microsoft .NET Framework 4.6
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 2.0 SP2
……
以后主流的windows 7、windows 10等操纵系统平台中都默许安装了.NET Framework,任何应用SOAP办事的软件都能经由过程.NET Framework触发。同时它能够被集成到office文档中,用户只需双击关上office文档,无需其余操纵,便可触发该漏洞破绽bug,完成随意率性代码履行。漏洞破绽bug位于http://referencesource.microsoft.com/#System.Runtime.Remoting/metadata/wsdl的PrintClientProxy函数中,该函数用于将剖析wsdl文件后获得的信息格局化成.cs代码parser.cs:

图1:parser.cs部门代码
soap:address中的location指定了SOAP的URL地点,在6142行、6149行中,调用了WsdlParser.IsValidUrl()函数来格局化location指定的URL地点:

图2:IsValidUrl函数代码片断
这个函数功效很简略,将剖析获得的URL地点后面加之@”,末端再加之”,就前往了,比方:
string value输出的URL地点是http://guanjia.qq.com,会被格局化成@”http://guanjia.qq.com”前往给调用者。6148行、6149行、6150行三行代码会格局化成以下所示的代码:
// base.ConfigureProxy(this.GetType(), @””http://guanjia.qq.com”
一个wsdl文件 中能够指定多个location,从以上代码中能够看到,只要第一个location才是有用的,从第二个开端,会加之正文符//,全部URL地点会被看成正文内容输出到.cs代码中,而后会创立csc.exe过程,由它编译天生一个名字类似于http*****.dll,这个DLL会被加载到office过程中,因为终极编译天生的.dll外面不会包含正文的URL地点,在正常环境下,这里不会有任何成绩。
然则WsdlParser.IsValidUrl()函数中没有斟酌输出的string value会包含一个换行符的环境,比方,咱们捕捉的样本中指定了以下所示的一个location:

图3:捕捉到样本的location代码
WsdlParser.IsValidUrl()函数格局化后,会天生以下的代码:

图4:颠末IsValidUrl格局化后代码
咱们能够看到正文符//只正文了base.ConfigureProxy(this.GetType(), @”;,因为换行符的存在,它不会正文掉接下来的4行代码,这些代码会被编译到末了天生的http*****.dll中,被office过程加载后履行。
是以,恶意病毒木马样本只需结构特别的soap xml,如

图5:恶意病毒木马结构的soap xml代码
而后经由过程System.Diagnostics.Process.Start(_url.Split(‘?’)[1], _url.Split(‘?’)[2]);这行代码就能够创立了mshta.exe过程,而后拉取对应的剧本履行恶意病毒木马的代码。
0×3 样本阐发
捕捉到的田野应用样本经由过程邮箱停止流传,主要的入侵攻击工具包含外贸事情从业者。入侵攻击者给入侵攻击目的发送垂纶邮件,而后附带应用漏洞破绽bug结构的order.doc文档,引诱被入侵攻击用户关上。而一旦不小心关上该文档,就会触发漏洞破绽bug,被莳植上远控木马,招致隐衷信息的透露。
样本的过程启动干系以下:

图6:样本启动干系链
1、 文档履行阐发:
文档关上后,会从办事器http://endlesspaws[.]com/plas/word[.]db拉取db文件,而该文件中内嵌了一段VBScript剧本,会由mshta.exe剖析履行:

图7:嵌入的VBScript剧本代码
它起首会清算掉现在剖析天生的.cs代码文件、编译天生的.pdb、.dll文件,而后会进一步从入侵攻击者节制的长途办事器中继承下载木马文件a:
http://endlesspaws[.]com/plas/under[.]php?hhh=5。
2、 病毒a阐发:
该样本为一个downloader,会继承从病毒办事器下载病毒文件b:
http://endlesspaws[.]com/plas/under[.]php?hhh=2

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载