欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

最新曝光的RTF漏洞题外运用研究探讨专题指南

来源:本站整理 作者:佚名 时间:2017-09-21 TAG: 我要投稿

图8:木马下载代码片断
下载返来后,会把文件放到启动目次,使得能够开机启动:
%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\icloud.exe”
接着,会从http://endlesspaws[.]com/plas/dd[.]zip下载返来一个空的doc文档,而后命名为%Temp%\New Document.doc,而且履行。
3、 病毒b阐发:
该文件为该次入侵攻击的焦点文件,是一款远控木马,木马操纵者能够完整节制受害者的机械,包含获得受害者的系统平台详细的信息、定向网络和下放随意率性文件、删除文件和目次、长途履行随意率性程式。该木马的一大特色是,所有的敏感信息全体都加密寄存,只要在应历时才暂时解密,同时,每次加密采用的办法也完整分歧样,增长逆向阐发的难度。同时,该远控与传统远控比拟,最大的特色是没有应用传统的C&C,而是应用实时通讯软件AIM(AOL(American Online) Instant Messenger)来通报节制敕令和数据,这类办法增长了动态阐发的难度,同时,也能够随意马虎逃过流量感知层的监控。
3.1:与节制端通讯
木马依据AIM应用的OSCAR通讯协定在当地模仿一个AOL Apple客户端Apple iChat,随机抉择以前注册好的9个小号登岸,每一个小号都曾经与主号成为了同伙,如许主号就能够向小号发送敕令和数据。下表是9个小号的账号和暗码和主号的账号:
帐号
暗码
Hatwoman00@hotmail.com
qndlsRod00&
Hatwoman10@hotmail.com
qndlsRod10&
Hatwoman30@hotmail.com
qndlsRod30&
Hatwoman40@hotmail.com
qndlsRod40&
Hatwoman50@hotmail.com
qndlsRod50&
Hatwoman60@hotmail.com
qndlsRod60&
Hatwoman70@hotmail.com
qndlsRod70&
Hatwoman80@hotmail.com
qndlsRod80&
Hatwoman90@hotmail.com
qndlsRod90&
hatmainman@hotmail.com
未知

图9:木马通讯代码片断

图10:登录截图
3.2:远控功效
病毒经由过程分歧的节制码来节制分歧的功效,对应干系以下表:
节制码
对应功效
0×6
获得磁盘信息
0×10
获得指定文件的信息
0×31
上传指定文件内容
0×41
下放或改动文件
0×51
删除文件或目次
0×53
重命名文件
0×55
挪动文件
0×81
获得以后系统平台运行的过程列表
0×83
停止随意率性过程
0×61
启动随意率性过程
0×4 补钉阐发
微软曾经于9月12号宣布了针对该漏洞破绽bug的补钉,微软在补钉中改动了WsdlParser.IsValidUrl()函数,它轮回遍历location中指定的每一个字符,对付换行符如许的特别符号,不会输出它,对付不是数字也不是字母的字符,打印成\u****十六进制情势输出,比方,上述入侵攻击者指定的有成绩的location终极天生以下的代码:
 

图11:补钉后的代码
如许就有用防止了终极天生的代码中呈现换行符的环境,也确保了正文符//能正文掉location中指定的内容。
0×5 结语
应用垂纶邮件停止入侵攻击,因为入侵攻击本钱昂贵,而且入侵攻击广度大,有着可观收益,是以一直是入侵攻击者爱好应用的入侵攻击方法。而文档类的漏洞破绽bug入侵攻击更是被入侵攻击者所青眼。咱们推想该漏洞破绽bugCVE-2017-8759能够会和以前的rtf漏洞破绽bugCVE-2017-0199同样,被愈来愈多的入侵攻击者所应用。

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载