-
-
[原创]CVE-2018-0798漏洞利用样本分析
-
发表于: 2019-12-19 14:56
-
记录日常业务,有些杂乱,抱歉。样本仅为测试学习使用,利用CVE-2018-0798,不与任何组织和个人关联。
样本信息:
2019-12-18最新
| MD5 | 0D28743F8CBAE195A81E437720866965 |
| SHA1 | DBA2FA756263549948FAC6935911C3E0D4D1FA1F |
| SHA256 | C51658ED15A09E9D8759C9FBF24665D6F0101A19A2A147E06D58571D05266D0A |
| 手法 | CVE-2018-0798 |
文档信息:
样本分析:
执行后将会注册表创建自启动:
run k.dll ENGDIC
创建临时文件:
k.Dll
VT仍未上传:
| MD5 | 3009DB32CA8895A0F15F724BA12A6711 |
| SHA1 | 92DE0A807CFB1A332AA0D886A6981E7DEE16D621 |
| SHA256 | E9766B6129D9E1D59B92C4313D704E8CDC1A9B38905021EFCAC334CDD451E617 |
| 时间戳 | 2019/8/13 14:40:19 |
首先程序将会在内存中请求空间,然后会在内存中解密加载文件:
然后创建线程开始执行:
在temp路径下创建tmplog文件:
写入:
其中程序带有反调试:将会校验执行时间
通过校验执行时间是否小于1000,如不满足将会循环执行,需要修改跳转指令
联网行为:
创建文件:
并不断写入文件:
然后将会创建进程:调用expand命令
可以看到从网址http://dw.adyboh.com/tel/1214/Iw8xqo下载的文件就是展开的文件;
创建文件:
调用CreateProcess创建进程,执行最终DLL:
| DE4HC9.tmp | Win32 DLL |
| MD5 | C17F6B254D1C9576EC2498A6376AF86B |
| SHA1 | 080BAF77C96EE71131B8CE4B057C126686C0C696 |
| SHA256 | DD3D401222DBB43DE85C475024184A0B59D22B1D6120EA845547BBDA82B7006B |
分配空间:
展开pe
最终将DLL内存中dump下来:
可以看到还有额外C2:95.179.156.97
最终C2:
IOCs: 95.179.133.232:80 荷兰 95.179.156.97 荷 兰 dw.adyboh.com dw.adyboh.com/tel/1214/LCN22G http://dw.adyboh.com/tel/1214/Iw8xqo
95.179.133.232:80 荷兰
关联域名:
dw.adyboh.com 并且在域名下没有关联到样本
各情报中心情况:
奇安信TI:
微步在线:
域名:
dw.adyboh.com/tel/1214/LCN22G
仍然存活
http://dw.adyboh.com/tel/1214/Iw8xqo
将会下载后续载荷:
95.179.156.97 荷 兰
在VT上没有关联信息:
各情报中心同样没有相关信息
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
