最新CVE-2017-11826漏洞利用样本分析-华盟网

最新CVE-2017-11826漏洞利用样本分析

华盟学院山东省第二期线下学习计划

2017年10月10日,微软在例行的月度补丁中修复了一个漏洞编号为CVE-2017-11826的在野Microsoft Office 0day 漏洞。鉴于CVE-2017-11826已存在在野利用案例,金睛安全研究团队发布安全预警,提醒广大用户及时修补漏洞。

漏洞编号:

CVE-2017-11826

漏洞影响软件:

Microsoft Office Compatibility Pack Service Pack 3

Microsoft Office Online Server 2016

Microsoft Office Web Apps Server 2010 Service Pack 2

Microsoft Office Web Apps Server 2013 Service Pack 1

Microsoft Office Word Viewer

Microsoft SharePoint Enterprise Server 2016

Microsoft Word 2007 Service Pack 3

Microsoft Word 2010 Service Pack 2 (32-bit editions)

Microsoft Word 2010 Service Pack 2 (64-bit editions)

Microsoft Word 2013 RT Service Pack 1

Microsoft Word 2013 Service Pack 1 (32-bit editions)

Microsoft Word 2013 Service Pack 1 (64-bit editions)

Microsoft Word 2016 (32-bit edition)

Microsoft Word 2016 (64-bit edition)

Word Automation Services

Word Automation Services

漏洞样本分析:

a. 样本运行后,会首先进行堆喷布置shellcode。漏洞利用成功后,会通过栈交换,ROP攻击等方式绕过ASLR并跳转到以下shellcode入口处。

最新CVE-2017-11826漏洞利用样本分析

b.shellcode中获取API地址的方法皆是通过Hash值匹配函数名,获取函数地址(以下示例为获取VirtualAlloc函数地址)。

最新CVE-2017-11826漏洞利用样本分析

c.通过遍历进程中的句柄,查找到文件,符合大小0xA000 ~ 0×200000之间,并且初始数据为0x74725C7B(rtf文件头),找到即是自身的rtf文件。

最新CVE-2017-11826漏洞利用样本分析

d. 对找到的文件进行搜索,通过0xFEFEFEFE,0xFFFFFFFF定位到一段加密的shellcode。

最新CVE-2017-11826漏洞利用样本分析

e. 继而通过异或(0xBCAD3333)对shellcode进行解密,并跳转执行。

最新CVE-2017-11826漏洞利用样本分析

f. 拼接一个文件名,并创建该文件(%temp%….\Roaming\Microsoft\Word\STARTUP..wll)。

最新CVE-2017-11826漏洞利用样本分析

g. 继续对文件内容向下搜索,再次通过0xBABABABA定位到一段加密的数据。

最新CVE-2017-11826漏洞利用样本分析

h.通过异或(0xCAFEBABE)解密,解密到值为0xBBBBBBBB为止。解密出来是一个dll文件,然后将它写入到..wll文件中。

最新CVE-2017-11826漏洞利用样本分析

i.然后跳过0xBB,继续向后进行解密(0xBAADF00D),到解密出的数据为0xBCBCBCBC为止。

最新CVE-2017-11826漏洞利用样本分析

j.最后解出来的数据为一个新的rtf数据文件,然后将其写回到原rtf文件。

最新CVE-2017-11826漏洞利用样本分析

k.最终解密出来的rtf文件如下:

最新CVE-2017-11826漏洞利用样本分析

该文档是为缅甸语编写,文档内容与某恐怖组织相关,再结合后续回连的C&C服务器,此次攻击应为一次APT定向攻击。

通过翻译发现该文档与恐怖组织德穆尔圣战组织相关。

释放动态库分析:

a. 释放的动态库主要有两个功能,一是下载payload压缩包并运行,二是上传系统信息。

b. Dll运行后下载https://cdn1.mymyawady.com/x4/dll/logo.jpg,这其实是一个压缩包。

最新CVE-2017-11826漏洞利用样本分析

c. 下载成功后,保存到系统临时目录,文件名称以_@开始。随后利用expand.exe解压文件。

d. 解压之后,创建进程,执行解压出的exe。由于之前的木马下载地址已经失效,暂时无法对木马进行深入分析。

e. 如果上述下载,解压,运行失败,会继续尝试一次,但url是https://cdn2.mymyawady.com/x4/dll/readme.txt

f. 之后不管是否成功,都会上传系统信息。会收集系统的SID、账号、计算机名称、本地IP、所下载url、公网IP等。

最新CVE-2017-11826漏洞利用样本分析

g. 并把之前那两个url是否下载成功附加在后边,如果成功是Success,识别是Failed。

最新CVE-2017-11826漏洞利用样本分析

h. 上述数据经过Base64编码之后,通过POST协议发送给https://cdn3.mymyawady.com/x4/dll/info.php

最新CVE-2017-11826漏洞利用样本分析

IOC:

https://cdn1.mymyawady.com/x4/dll/logo.jpg https://cdn2.mymyawady.com/x4/dll/readme.txt https://cdn3.mymyawady.com/x4/dll/info.php

45.77.46.81

解决方案:

1. 及时更新并安装微软2017 年10月10日发布的补丁。

补丁链接:

www.idc126.com

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826

本文由 华盟网 作者:小龙 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论