安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2018-12-03 23:12:00  来源:本站整理

一个CVE-2017-11882漏洞新变异样本的调试与分析[安全新闻]

赞助商链接



  本文“一个CVE-2017-11882漏洞新变异样本的调试与分析[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

近日收获一个后缀名为doc的word文档,查看后其实是rtf格式文档。在测试环境打开后发现有网络连接和执行程序的动作,确定该样本是恶意文档。经过初步分析,发现该样本是CVE-2017-11882漏洞的利用新样本。CVE-2017-11882漏洞和CVE-2018-0802漏洞基于Office公式编辑器的处理逻辑错误 ,是最近office恶意攻击文档的常用手段。网络上对该漏洞的成因、利用等分析的已经十分到位,比如360天眼实验室的 利用了Office公式编辑器特殊处理逻辑的最新免杀技术分析(CVE-2017-11882),以及腾讯电脑管家的NDAY漏洞CVE-2017-11882与0Day漏洞CVE-2018-0802漏洞组合传播远控木马的样本分析 等技术报告。本次样本与之前各家分析的稍有不同,应是CVE-2017-11882漏洞的又一个变异版本。
一、基本动作
实验环境:windows 7 x64 sp1中文版,office 2010中文版。
漏洞样本打开后,显示的文档内容为乱码,如下图所示。

此外,在%temp%目录下生成并运行一个名为emre.exe的可执行文件。抓包发现emre.exe是从http://ghthf.cf/cert/ochicha.exe下载生成。如下图所示。

二、漏洞调试
1、样本形态
winhex打开后如下两幅图所示。文档后面直接跟要显示的内容。

紧随其后的就是object对象,如下图所示。

2、RTF初步分析
用rftobj分析后结果如下图所示。可以看到clsid为0002ce02-0000-0000-c000-000000000046也就是微软公式编辑器对象。


从图中我们可以看到,该对象名字为“eQuatiON native”,对正常对象名字“Equation Native”进行了大小写转换操作,可能也是追求免杀的一种效果。
3、漏洞调试
根据各方对漏洞的分析报告,我们直接调试漏洞所在的函数0041160F。

在经过11次的rep操作后,如下图,堆栈0x0043F775被覆盖。


而EQNEDT32.EXE进程0x0043F775处的值是C3,恰好是指令retn。

执行后跳转到shellcode位置。如下图所示:

4、shellcode调试分析
shellcode的位置在eQuatiON native对象中。
分为两个部分,其中开始的位置0×0826处,B9 C439E66A(见上图0018F354处的反汇编指令)开始到 0851处,紧随其后的就是四个字节0x0043F7F5(EQNEDT32.EXE进程中RETN指令)。第二部分的位置在0x089E处开始一直到结束。

第一部分的shellcode跳转到第二部分的汇编指令如下图所示:

经过分析,发现该段的shellcode进行了一系列的jmp跳转指令操作,因是为了shellcode的混淆和保护。比如下图所示:

[1] [2]  下一页


  以上是“一个CVE-2017-11882漏洞新变异样本的调试与分析[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • 一个CVE-2017-11882漏洞新变异样本的调试与分析
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .