win10打开软件无响应 2017年恶意Office文档攻击研究报告(3)

CVE-2017-0199涉及到两个危险的COM对象：

CLSIDProgID{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B} htafile {06290BD3-48AA-11D2-8432-006008C3FBFC}

需要特别注意的是，微软在4月份发布的修复CVE-2017-0199的补丁中，修补了两部分内容，一是针对Office 的补丁，修改了MSO.dll，二是针对Windows的补丁，修改了ole32.dll，在打补丁时需要Office补丁和Windows补丁一起修补，才能完整修复这个漏洞。

典型样本分析

利用该漏洞的一种典型的攻击场景为：攻击者将CVE-2017-0199漏洞的RTF文件作为一个源嵌入到了Docx格式的文档中，docx文件在打开时是自动去远程获取包含0199漏洞的rtf文件，再触发后面的漏洞利用代码，这样的攻击增加了安全软件的查杀难度。

原始文件为一个docx格式的文档，在该文档中嵌入了MsOffice.doc文档，从下图可以看到链接到MsOffice.doc地址。

MsOffice.doc文档格式为rtf，为一个CVE-2017-0199的漏洞利用样本。将MsOffice.doc文档中的ole对象提取出来后，可以看到其指向的恶意链接为[xxxx].com/[xxxx]/1，如下图

恶意链接1文件对应着一个vb脚本，脚本内容如下

该vbs功能是使用powershell加载下面语句

从网站目录结构上看到整个攻击过程中所有的文件。

对网站目录上三个文件的说明：

Document_verify.docx docx格式文件，里面嵌入了一个链接类型OLE对象，指向MsOffice.doc MsOffice.doc CVE-2017-0199漏洞利用文档，漏洞利用后，加载vbs执行，vbs会下载invoice.exe执行 invoice.exe 最终的Loki Bot窃密木马文件

Loki bot是一款专门窃取用户凭证的窃密木马，该木马除了可以窃取firefox、chrome等浏览器凭证外，还可以窃取用户数字货币钱包等。此外，该木马也具有键盘记录、屏幕截取、远程下载执行等常规木马功能。

3.2 CVE-2017-8570

利用趋势

CVE-2017-8570漏洞自2017年7月份公布，并没有真正意义上的漏洞利用样本出现，网上流传的针对该漏洞的利用也大多是针对CVE-2017-0199的方式的利用。但直到2018年1月份，国外安全研究人员在github上公布了该漏洞的利用代码，从2018年开始，腾讯哈勃分析系统已陆续捕获数几十例对利用该漏洞的恶意样本。

漏洞原理

CVE-2017-8570漏洞原理与CVE-2017-0199如出一辙，微软在CVE-2017-0199修复时，使用了COM Activation Filter机制，单纯地过滤封锁了htafile对象和对象的GUID，此后攻击者开始寻找另外的COM对象来绕过CVE-2017-0199的补丁，最终黑客找到了letfile对象，这就是CVE-2017-8570漏洞。

CVE-2017-8570漏洞利用的是CLSID为{06290BD2-48AA-11D2-8432-006008C3FBFC}的COM对象，与CVE-2017-0199利用的对象进行对比可以看到这两个GUID十分类似。

{06290BD3-48AA-11D2-8432-006008C3FBFC} CVE-2017-0199 {06290BD2-48AA-11D2-8432-006008C3FBFC} letfile CVE-2017-8570

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-88458-3.html