win10打开软件无响应 2017年恶意Office文档攻击研究报告(5)

BhvMJfZCknfT文件的内容如下：

这段代码会导致SOAP WSDL分析器解析时代码注入，编译生成以URL命名的dll文件，该dll文件随后被Office加载执行。

上面代码获得执行后，会调用powershell从[xxxx]e.org/Lytrafid/fiddle.exe下载恶意程序执行。

fiddle.exe使用C#编写，也是一个loader程序，从程序元数据中看到程序的编译时间为：2018/1/11 11:38:28。程序代码经过混淆，代码显示如下：

其在内存中解码出PE文件，随后加载解码出的PE执行。解码函数如下：

对解码出的PE文件分析，可以看到解码出的PE文件为一远控木马，其上线地址为：2xx.xxx.xxx.xx5:213

3.4 CVE-2017-11882

利用趋势

该漏洞于2017年11月份公布。随后几天内，漏洞利用被公开，导致了该漏洞利用迅速的流行起来，在11月，腾讯哈勃分析系统捕获数十例漏洞利用样本，但在12月，该漏洞利用样本数量上升到上千数量级。

漏洞原理

CVE-2017-11882漏洞原理简单，利用稳定，并且可以做到无交互，无感知，已经被多个APT组织纳入攻击武器库，广泛的用于鱼叉式钓鱼攻击和水坑攻击中。

通过IDA看到漏洞发生的位置如下图，其中参数a1的内容来自于“Equation Native”流，该流的数据由文档提供，正常情况下，流里面的数据代表一个MathType的公式。

而在解析“Equation Native”流的Font Name数据时，在上面的拷贝过程中没有对FontName的长度做校验，导致了栈溢出，最终使用精心构造的数据覆盖函数的返回地址，达到劫持程序执行流程的目的。

典型样本分析

以我们最近捕获的一封垃圾邮件传播loki窃密木马的样本为例

初始攻击使用的邮件内容如下：

将附件文档中的ole对角提取出来后，可以看到OLE对象中的“Equation Native”对象

动态调试可以看到

上面的溢出时，将返回地址覆盖成了0x00630C12，对应着ole对象中的数据如下：

随后在_strupr函数中，字符串内容被转换，对应着下面代码中-0×20后，返回地址被修改为：0x00430C12

而对应的地址为WinExec，从而达到调用WinExec的目的。

此处漏洞利用成功后执行的命令为：使用SMB协议，加载\\1[xx.xxx.xx.xxx]\s\joe.src执行，此处的joe.src是个loader，该loader带有损坏的”StardockCorporation”数字签名

最终会加载商业化的窃密木马FormBook 执行, FormBook窃密木马支持窃取firefox、chrome、opera、ie等浏览器凭证，支持对outlook、Thunderbird等邮件凭证的窃取，此外还支持远程命令执行，远程下载执行等功能。win10打开软件无响应

3.5 DDE利用

利用趋势

该利用方法在2017年09月10日由安全研究人员公布，据称在8月份该问题就被报告给微软的安全部门，但微软认为这并不是安全问题因此没有给出解决方案。在09月10日利用方式被公布后，腾讯哈勃分析系统在当月捕获到数例样本使用，在10月份利用该方式的样本逐渐增多，11月份数量相比10月份有一定程度的下降，但在随后的12月份，利用DDE的恶意样本数量增长。具体数量趋势图如下：

DDE原理

DDE（Dynamic Data Exchange）是WINDOWS提供的一种在应用程序之间传输数据的协议。该功能内置于 Microsoft Office 软件的系列组件之中，在使用该功能时Office 默认会弹出提醒，但是这个提醒却可以用修改语法的形式修改，因此黑客可以修改提醒内容诱导用户点击确定，从而允许 DDE 执行。利用DDE可以绕过OFFICE的宏限制，无需利用OFFICE文档漏洞，达到运行程序的目的。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-88458-5.html