首页
社区
课程
招聘
[原创]CVE-2014-4114 SandWorm 沙虫漏洞分析报告
发表于: 2014-10-20 10:16 9438

[原创]CVE-2014-4114 SandWorm 沙虫漏洞分析报告

2014-10-20 10:16
9438
收藏
免费 3
支持
分享
最新回复 (59)
雪    币: 159
活跃值: (339)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
26
特来支持!
2014-10-21 18:51
0
雪    币: 222
活跃值: (44)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
27
就是临时目录啊。

在win7下,就是 C:\Users\{username}\AppData\Local\Temp
2014-10-21 18:54
0
雪    币: 10
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
28
发现TEMP没有,难道是我的样本不对吗或是没有搭建服务器之类的?
样本的hash:70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aaf
我运行样本后,程序直接崩溃了。

Packager.dll的一个函数将这两个文件从网络上下载下来并保存在临时目录中,该函数是CPackage::OLE2MPlayerReadFromStream,用什么工具查看这个函数?
上传的附件:
2014-10-21 21:00
0
雪    币: 79
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
话说这个\\94.185.85.122\public\slides.inf是UNC路径的话是怎么做到在外网下载的,求大腿解释
2014-10-21 21:33
0
雪    币: 222
活跃值: (44)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
30
当然是用IDA啦
2014-10-22 09:53
0
雪    币: 69
活跃值: (242)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wmg
31
好东西,,多谢分享...
2014-10-22 10:41
0
雪    币: 10
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
哦哦,好,我试试,多谢,另外要往这个漏洞里注入东西应该怎么做,像弹出会话框之类的。
2014-10-22 13:35
0
雪    币: 10
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
直接改嵌入对象的地址,攻击是不是就不能执行了?
2014-10-22 20:23
0
雪    币: 207
活跃值: (351)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
卡饭没有权限,能不能直接发个附件呢,非常感谢
2014-10-23 08:42
0
雪    币: 79
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
楼主分析里说的自己生成的PPT里的slide1.xml,为什么添上了少的那几条语句,PPT第一页直接损坏了呢
2014-10-23 11:15
0
雪    币: 411
活跃值: (247)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
36
我看了翰海源和安天的分析,有个关键的地方没弄明白,为什么都要说\\x.x.x.x\xx.inf这个文件的地址是WEBDAV地址,我看明明只能是UNC地址的.这对攻击的场景还是有很大关系的.
2014-10-23 16:08
0
雪    币: 358
活跃值: (63)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
37
http://blog.xecure-lab.com/2014/10/cve-2014-4114-pptx-apt-xecure-lab.html
现在有不需要远程下载,直接把exe内嵌在pptx里的了。
不过这个CompObj stream我没搞明白怎么用,谁有内嵌版的样本啊?
2014-10-23 19:05
0
雪    币: 411
活跃值: (247)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
38
打开的时候咋个还是有个提示哦。
2014-10-23 19:29
0
雪    币: 10
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
我传一下我下载的样本,不会调这个漏洞,求助!!!
上传的附件:
2014-10-24 13:52
0
雪    币: 10
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
改IP后,文件就损坏了,不能执行了,要怎么改这个IP?
2014-10-24 14:09
0
雪    币: 10
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
是PPS格式的一个样本。
上传的附件:
2014-10-24 14:38
0
雪    币: 411
活跃值: (247)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
42
你妹的。。。。楼主这个洞你还是没分析完全哈。
除了VERB这儿还有个关键地方。
2014-10-24 20:36
0
雪    币: 411
活跃值: (247)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
43
总结了一下关键要点

远程利用方式:
两个要点:
1.要修改CMD为3,也就是执行右键菜单的第二项,执行第一项也就默认的打开是有提示的.
2.要修改OLE对象的CLSID为{00022602-0000-0000-C000-000000000046},这样在实际数据中才能以UNC路径(注意不是WEBDAV)方式引用INF文件,同时可以跳过下载文件提示(makefileunsafe),因为程序把UNC路径当成的本地文件!

-----------
本地利用方式:
1.修改CMD同上
2.本地方式只能绑EXE,本地方式不能跳过下载文件提示,但是如果是绑EXE(菜单项第二项为以管理员方式运行),如果有UAC则提示UAC,如果没有UAC则EXE可直接运行!
-----------
结论:比较鸡肋的漏洞!
2014-10-25 00:56
0
雪    币: 10
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
44
现在把public目录下的东西放在自己的主机上了(之前的链接已经失效了),然后把地址改为自己主机的位置了,但是把样本修改后就无法运行了,不知道什么原因,求大神指导。
2014-10-25 15:12
0
雪    币: 411
活跃值: (247)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
45
要重新打包。用WINRAR就可以
2014-10-25 17:58
0
雪    币: 10
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
WINRAR是哪个版本的,试了好几个压缩软件都不行,压缩回去就打不开了。
2014-10-25 18:49
0
雪    币: 10
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
47
我传一个我修改对象地址后的压缩包,麻烦帮我看看怎么才能运行。谢谢!!!
上传的附件:
2014-10-25 19:23
0
雪    币: 361
活跃值: (102)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
48
我把卡饭的引用过来了。
上传的附件:
2014-10-25 20:15
0
雪    币: 65
活跃值: (112)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
49
这东西,从资源管控角度讲,office系列软件是不该生成exe文件的,一旦生成,直接拦截并报警,一样可以起到防御效果,不过某些喜欢搞所谓 技术流的,这么高深的玩玩倒也可以
2014-10-25 20:43
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
50
新人菜鸟求教,为什么我打不开修改后的ppt提示: 无法打开演示文稿。防病毒程序可能阻止您打开此演示文稿。若要解决此问题,请确保防病毒程序为最新版本并且运行正常。如果问题仍然存在,并且该演示文稿来自您信任的人员,请关闭防病毒程序,然后重新尝试打开演示文稿。如果执行此操作,则在打开了演示文稿之后,请务必重新打开防病毒软件。
    但是我虚拟机上没有杀毒软件,防火墙关了也不行,我用的是office2010
2014-10-26 11:46
0
游客
登录 | 注册 方可回帖
返回
//