-
-
[原创]CVE-2017-11882恶意样本调试分析
-
发表于:
2019-6-10 21:02
9188
-
[原创]CVE-2017-11882恶意样本调试分析
最近无聊,就在Malware-Traffic-Analysis上找了一个传播Lokibot的恶意邮件
其中的purchase order.PNG是一个链接,点击将会下载一个rtf漏洞利用文档,根据VT结果。使用了CVE-2017-11882公式漏洞。通过rtfobj稍微查看了一下也证实了这一点。
该漏洞利用文档使用了简单的rtf混淆,如下。
使用rtfdump.py对列出该rtf中的所有控制字。
这里有好几个控制字,如第二个\object以及第8个\bin。对\bin进行dump分析,可以看到这个就是公式漏洞的数据。
这里我们手动提取出\bin的数据并且编写一个脚本转换。
对提取出的文件使用010editor进行分析。为了方便分析,这里我编写了一个010editor的temple文件。
运行模板之后,得到如下的文件分析结果。
对该样本使用windbg调试,通过gflags添加注册表,当EQNEDT32.exe执行的时候,windbg附加。我们知道cve-2017-11882的触发地址在41160F当中。所以我们在触发漏洞执行链调用4115A7之前下断点,可以看到eax指向的就是我们的shellcode部分。
我们可以看到漏洞触发前的数据。
触发之后,成功将返回地址修改为了0x44F825,并且对应的shellcode也写进去了。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课