Office CVE-2017-11826 漏洞样本技术分析报告

  • A+
所属分类:CVE剖析 渗透实战

近日,有攻击者利用微软的office漏洞(CVE-2017-11826)进行恶意软件传播。该样本以RTF文档的形式呈现,可通过邮件、可移动磁盘、聊天软件等多种方式投送,发送给受害者。诱使其点击,触发漏洞,执行恶意代码,最终控制受害者电脑,窃取文档、隐私数据等重要敏感信息。微软在10月补丁中已经修复了该漏洞,建议受影响的用户尽快打上补丁。

相关链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826

样本技术分析

漏洞细节

CVE-2017-11826是一个微软Office中的内存破坏类漏洞。攻击者通过构造恶意word标签和属性,破坏内存数据,以达到代码执行的目的。

Office CVE-2017-11826 漏洞样本技术分析报告

绕过ASLR和DEP

在另一个docx中,通过ActiveX堆喷,控制内存,使得0x88888ec处布上可预测的数据,手法和CVE-2015-1641很相似。

Office CVE-2017-11826 漏洞样本技术分析报告

通过利用未启用DEP和ASLR的msvbvm8.dll构造ROP,完全绕过系统ASLR和DEP。漏洞触发成功就跳到ROP上执行:

Office CVE-2017-11826 漏洞样本技术分析报告

第一阶段shellcode

通过GetFileSize,暴力枚举当前文档句柄,从当前文档中解密提取出二阶段shellcode。

Office CVE-2017-11826 漏洞样本技术分析报告

第二阶段shellcode

依据Magic标识,再从文档中提取恶意软件(一个DLL文件)释放到 %APPDATA%\Microsoft\Word\STARTUP\..wll,wll后缀为word addin文件,会在下次word启动时自动加载。

Office CVE-2017-11826 漏洞样本技术分析报告

同时把原RTF文档中恶意数据部分销毁。

Office CVE-2017-11826 漏洞样本技术分析报告

释放恶意软件

释放的恶意软件为一个Downloader,从mymyawady.com处下载其他恶意软件,该域名现在已经无法解析。

Office CVE-2017-11826 漏洞样本技术分析报告

同时收集用户信息,包括主机名,内外网IP等。

Office CVE-2017-11826 漏洞样本技术分析报告

域名分析

从域名注册信息看,这个域名注册于8月,说明此次攻击已经筹备相当长的时间。

Office CVE-2017-11826 漏洞样本技术分析报告

检测与防护方案

检测方法

  1. 该样本通过CVE-2017-11826进行传播,可以通过对应的word文件是否存在该漏洞的利用数据来判断。
  2. 通过恶意域名mymyawady .com的连接行为来判断是否受感染。

防护方法

1.升级终端安全软件,打开实时防御功能。

2.安装微软10月补丁,修复漏洞。补丁链接如下: https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-11826

3.提升安全意识,谨慎打开陌生人通过邮件、聊天软件发送的可疑文档。

4.部署绿盟科技TAC威胁分析系统。

Office CVE-2017-11826 漏洞样本技术分析报告

5.可疑文件可以通过绿盟科技威胁分析中心进行信誉认证。

https://poma.nsfocus.com/

Office CVE-2017-11826 漏洞样本技术分析报告

绿盟科技木马专杀解决方案

  • 短期服务:绿盟科技工程师现场木马后门清理服务(人工服务+IPS +TAC)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
  • 中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。长期对此恶意样本进行检测,保护客户系统安全。
  • 长期服务:基于行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)

总结

攻击者精心构造恶意文档,通过office漏洞进行攻击,在微软发布补丁之前还是作为一个0day漏洞被利用传播,利用简单,影响较大。对于这种攻击,需要从防范措施上入手,确保自身系统安全和操作规范,以防成为受害者。

发表评论

您必须才能发表评论!