首页
社区
课程
招聘
[原创]CVE-2017-11882恶意样本调试分析
发表于: 2019-6-10 21:02 9176

[原创]CVE-2017-11882恶意样本调试分析

2019-6-10 21:02
9176

最近无聊,就在Malware-Traffic-Analysis上找了一个传播Lokibot的恶意邮件


其中的purchase order.PNG是一个链接,点击将会下载一个rtf漏洞利用文档,根据VT结果。使用了CVE-2017-11882公式漏洞。通过rtfobj稍微查看了一下也证实了这一点。


该漏洞利用文档使用了简单的rtf混淆,如下。


使用rtfdump.py对列出该rtf中的所有控制字。


这里有好几个控制字,如第二个\object以及第8个\bin。对\bin进行dump分析,可以看到这个就是公式漏洞的数据。


这里我们手动提取出\bin的数据并且编写一个脚本转换。


对提取出的文件使用010editor进行分析。为了方便分析,这里我编写了一个010editor的temple文件。


运行模板之后,得到如下的文件分析结果。


对该样本使用windbg调试,通过gflags添加注册表,当EQNEDT32.exe执行的时候,windbg附加。我们知道cve-2017-11882的触发地址在41160F当中。所以我们在触发漏洞执行链调用4115A7之前下断点,可以看到eax指向的就是我们的shellcode部分。



我们可以看到漏洞触发前的数据。


触发之后,成功将返回地址修改为了0x44F825,并且对应的shellcode也写进去了。



[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 1
支持
分享
最新回复 (5)
雪    币: 2375
活跃值: (433)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
看来用delphi写病毒不错啊,大家都不愿意深入分析它了
2019-6-10 21:45
0
雪    币: 2107
活跃值: (1429)
能力值: ( LV8,RANK:126 )
在线值:
发帖
回帖
粉丝
3
mb_ckbeqxfo 楼主我想咨询一个问题
啥子问题
2019-7-24 14:06
0
雪    币: 259
活跃值: (3475)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
4
大佬,我想问下文章中提到的“提取出\bin的数据并且编写一个脚本转换”是为什么啊 为什么需要脚本转换啊 转换成了什么啊  那个脚本有点没看懂
2022-2-25 14:57
0
雪    币: 2107
活跃值: (1429)
能力值: ( LV8,RANK:126 )
在线值:
发帖
回帖
粉丝
5
大河向东流哇 大佬,我想问下文章中提到的“提取出\bin的数据并且编写一个脚本转换”是为什么啊 为什么需要脚本转换啊 转换成了什么啊 那个脚本有点没看懂
\bin是第八个控制字的数据,转换是把他转换为16进制数据,我写脚本比较麻烦,你可以使用cyberchef的tohex直接转换就可以了
2022-2-28 17:44
0
雪    币: 259
活跃值: (3475)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
6
binlmmhc \bin是第八个控制字的数据,转换是把他转换为16进制数据,我写脚本比较麻烦,你可以使用cyberchef的tohex直接转换就可以了
嗷嗷 soga 谢谢大佬  
2022-3-2 15:45
0
游客
登录 | 注册 方可回帖
返回
//