欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

一个使用cve-2017-11882和cve-2018-0802组合漏洞的恶意文档分析

来源:本站整理 作者:佚名 时间:2018-12-25 TAG: 我要投稿


近日截获一个扩展名为doc的word文档攻击样本,其格式其实是RTF格式。通过分析该文档组合利用了cve-2017-11882和cve-2018-0802漏洞,并且使用内嵌的excel对象用于触发漏洞。释放的PE文件用于搜集目标用户的敏感信息。
 
一、基本情况
在实验环境(win764、office2010)打开文档,进行进程监控,发现winword进程执行后,首先执行excel.exe,然后运行EQNEDT32.exe,接着运行cmd.exe,最后运行进程A.X,其中EQNEDT32.exe运行了两次。看到EQNEDT32.exe,瓶感觉应该是cve-2017-11882或者cve-2018-0802的样本。
文档打开后,显示为空文档,如下图所示。

上图中,不经意可能就以为是空的,其实细看,发现有左上方一个小黑点的图标在。如下图所示。

双击后,发现弹出窗口,如下图所示。显示“windows 无法打开此文件:A.X”。很明显,该“小黑点”应该是一个外部链接对象。

右键点击该对象,选择“包装程序外壳对象”对象,可以查看该对象的“属性”。如下图所示。

其对象属性如下图所示:

看到这里,我们大致就可以断定:该样本应该是是利用RTF嵌入一个PE对象,在打开文档的时候会默认释放到%temp%目录下,然后利用cve-2017-11882或者cve-2018-0802执行该进程。
 
二、RTF分析
1、文档结构分析

利用rtfobj攻击对文档进行分析,发现其内嵌两个对象,分别是一个package对象和一个Excel.Sheet.8对象。如图所示。Package对象原文件是“C:\\Users\\n3o\\AppData\\Local\\Microsoft\\Windows\\INetCache\\Content.Word\\A.X”。从这个可以看出,该文档的作者操作系统用户名为:n3o。
其中A.X就是释放的恶意PE文件。
另外一个是内嵌入的excel表对象,我们把提取的excel表后缀改名为.xls后用excel打开。发现其包含两个对象AAAA和bbbb,都是“Equation.3”对象,如下图所示。

对提取的excel表对象,其文档结构如下图所示。

表中包括了两个CLSID为“0002ce02-0000-0000-c000-000000000046”(Microsoft 公式 3.0)的对象MBD0002E630和MBD0002E631,可以看到修改时间为2018/5/21 17:52。

此外,两个“Microsoft 公式 3.0”对象的Ole10Native大小分别为59字节和160个字节,里面包含了“cmd.exe /c %tmp%\A.X”字样用于执行A.X进程。应该是组合使用了cve-2017-11882和cve-2018-0802两个漏洞。
至此,我们可以基本分析清楚了该样本,总体流程图如下下图所示。

2、静态文档
用winhex打开,可以发现第一个package对象,位于 文件的0x2A8A处。其中0x00137158指的是对象的大小,也就是十进制1274200,正是释放的A.X的大小。紧跟其后的就是PE文件,在winhex中我们可以看到,作者把PE头0x4D5A进行了修改,在中间插入0x090d进行分割,使其变成[0x090d]4[0x090d]d[0x090d]5[0x090d]a[0x090d],其实就是0x4d5a,这样的操作应该是为了避免某些杀软的查杀,不直接以0x4d5a9000的样子呈现,一看就明显是PE文件。具体如下图所示:

另一个对象在0x299061位置处,是一个Exce.Sheet.8对象。其大小是0x00005C00,也就是十进制23552,和rtfobj提取的exel大小一致。作者也对复合文档的头进行了变化,用0x0909进行分割,使得d0cf11开头的复合文档变成了d[0x0909]0[0x0909]。应该也是一定意义上的免杀

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载