-
-
[原创]CVE-2017-11882恶意样本调试分析
-
发表于: 2019-6-10 21:02
-
最近无聊,就在Malware-Traffic-Analysis上找了一个传播Lokibot的恶意邮件
其中的purchase order.PNG是一个链接,点击将会下载一个rtf漏洞利用文档,根据VT结果。使用了CVE-2017-11882公式漏洞。通过rtfobj稍微查看了一下也证实了这一点。
该漏洞利用文档使用了简单的rtf混淆,如下。
使用rtfdump.py对列出该rtf中的所有控制字。
这里有好几个控制字,如第二个\object以及第8个\bin。对\bin进行dump分析,可以看到这个就是公式漏洞的数据。
这里我们手动提取出\bin的数据并且编写一个脚本转换。
对提取出的文件使用010editor进行分析。为了方便分析,这里我编写了一个010editor的temple文件。
运行模板之后,得到如下的文件分析结果。
对该样本使用windbg调试,通过gflags添加注册表,当EQNEDT32.exe执行的时候,windbg附加。我们知道cve-2017-11882的触发地址在41160F当中。所以我们在触发漏洞执行链调用4115A7之前下断点,可以看到eax指向的就是我们的shellcode部分。
我们可以看到漏洞触发前的数据。
触发之后,成功将返回地址修改为了0x44F825,并且对应的shellcode也写进去了。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
看来用delphi写病毒不错啊,大家都不愿意深入分析它了
|
|
|
啥子问题 |
|
|
|
|
|
\bin是第八个控制字的数据,转换是把他转换为16进制数据,我写脚本比较麻烦,你可以使用cyberchef的tohex直接转换就可以了 |
|
|
嗷嗷 soga 谢谢大佬 |
mb_ckbeqxfo
