压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近日截獲一個擴展名為doc的word文檔攻擊樣本，其格式其實是RTF格式。通過分析該文檔組合利用了cve-2017-11882和cve-2018-0802漏洞，并且使用內嵌的excel對象用于觸發漏洞。釋放的PE文件用于搜集目標用戶的敏感信息。

一、基本情況

在實驗環境（win764、office2010）打開文檔，進行進程監控，發現winword進程執行后，首先執行excel.exe，然后運行EQNEDT32.exe，接著運行cmd.exe，最后運行進程A.X，其中EQNEDT32.exe運行了兩次?？吹紼QNEDT32.exe，瓶感覺應該是cve-2017-11882或者cve-2018-0802的樣本。

文檔打開后，顯示為空文檔，如下圖所示。

上圖中，不經意可能就以為是空的，其實細看，發現有左上方一個小黑點的圖標在。如下圖所示。

雙擊后，發現彈出窗口，如下圖所示。顯示“windows 無法打開此文件：A.X”。很明顯，該“小黑點”應該是一個外部鏈接對象。

右鍵點擊該對象，選擇“包裝程序外殼對象”對象，可以查看該對象的“屬性”。如下圖所示。

其對象屬性如下圖所示：

看到這里，我們大致就可以斷定：該樣本應該是是利用RTF嵌入一個PE對象，在打開文檔的時候會默認釋放到%temp%目錄下，然后利用cve-2017-11882或者cve-2018-0802執行該進程。

二、RTF分析

1、文檔結構分析

利用rtfobj攻擊對文檔進行分析，發現其內嵌兩個對象，分別是一個package對象和一個Excel.Sheet.8對象。如圖所示。Package對象原文件是“C:\\Users\\n3o\\AppData\\Local\\Microsoft\\Windows\\INetCache\\Content.Word\\A.X”。從這個可以看出，該文檔的作者操作系統用戶名為：n3o。

其中A.X就是釋放的惡意PE文件。

另外一個是內嵌入的excel表對象，我們把提取的excel表后綴改名為.xls后用excel打開。發現其包含兩個對象AAAA和bbbb，都是“Equation.3”對象，如下圖所示。

對提取的excel表對象，其文檔結構如下圖所示。

表中包括了兩個CLSID為“0002ce02-0000-0000-c000-000000000046”（Microsoft 公式 3.0）的對象MBD0002E630和MBD0002E631，可以看到修改時間為2018/5/21 17:52。

此外，兩個“Microsoft 公式 3.0”對象的Ole10Native大小分別為59字節和160個字節，里面包含了“cmd.exe /c %tmp%\A.X”字樣用于執行A.X進程。應該是組合使用了cve-2017-11882和cve-2018-0802兩個漏洞。

至此，我們可以基本分析清楚了該樣本，總體流程圖如下下圖所示。

2、靜態文檔

用winhex打開，可以發現第一個package對象，位于 文件的0x2A8A處。其中0x00137158指的是對象的大小，也就是十進制1274200，正是釋放的A.X的大小。緊跟其后的就是PE文件，在winhex中我們可以看到，作者把PE頭0x4D5A進行了修改，在中間插入0x090d進行分割，使其變成[0x090d]4[0x090d]d[0x090d]5[0x090d]a[0x090d]，其實就是0x4d5a，這樣的操作應該是為了避免某些殺軟的查殺，不直接以0x4d5a9000的樣子呈現，一看就明顯是PE文件。具體如下圖所示：

另一個對象在0x299061位置處，是一個Exce.Sheet.8對象。其大小是0x00005C00，也就是十進制23552，和rtfobj提取的exel大小一致。作者也對復合文檔的頭進行了變化，用0x0909進行分割，使得d0cf11開頭的復合文檔變成了d[0x0909]0[0x0909]。應該也是一定意義上的免殺混淆操作。具體如下圖所示：

三、PE文件分析

1、實體文件

釋放的實體文件名字為A.X，大小為1274200。

屬性如下圖所示。

內含的數字簽名如下圖所示：

該PE文件是用VB語言編寫32位程序，以下是PE查看信息。

File Compression State : 0 (Not Compressed)

File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 1274200 (0137158h) Byte(s) | Machine: 0x14C (I386)

Compilation TimeStamp : 0x38215CB8 -> Thu 04th Nov 1999 10:15:20 (GMT)

[TimeStamp] 0x38215CB8 -> Thu 04th Nov 1999 10:15:20 (GMT) | PE Header | - | Offset: 0x000000C0 | VA: 0x004000C0 | -

-> File Appears to be Digitally Signed @ Offset 0BD000h, size : 01678h / 05752 byte(s)

-> File has 494304 (078AE0h) bytes of appended data starting at offset 0BE678h

[LoadConfig] CodeIntegrity -> Flags 0xA3F0 | Catalog 0x46 (70) | Catalog Offset 0x2000001 | Reserved 0x46A4A0

[LoadConfig] GuardAddressTakenIatEntryTable 0x8000011 | Count 0x46A558 (4629848)

[LoadConfig] GuardLongJumpTargetTable 0x8000001 | Count 0x46A5F8 (4630008)

[LoadConfig] HybridMetadataPointer 0x8000011 | DynamicValueRelocTable 0x46A66C

[LoadConfig] FailFastIndirectProc 0x8000011 | FailFastPointer 0x46C360

[LoadConfig] UnknownZero1 0x8000011

[File Heuristics] -> Flag #1 : 00000000000000000000000000000100 (0x00000004)

[Entrypoint Section Entropy] : 7.42 (section #0) ".text?? " | Size : 0xB71C0 (750016) byte(s)

[DllCharacteristics] -> Flag : (0x0000) -> NONE

[SectionCount] 3 (0x3) | ImageSize 0xBD000 (774144) byte(s)

[VersionInfo] Product Name : CUFFIN10

[VersionInfo] Product Version : 3.05.0004

[VersionInfo] File Description : BARTRAMIA1

[VersionInfo] File Version : 3.05.0004

[VersionInfo] Original FileName : Moistness9.exe

[VersionInfo] Internal Name : Moistness9

[ModuleReport] [IAT] Modules -> MSVBVM60.DLL

[!] File appears to have no protection or is using an unknown protection

- Scan Took : 0.531 Second(s) [000000213h (531) tick(s)] [566 of 580 scan(s) done]

2、網絡連接

A.X運行后，連接104.16.18.96的80端口，以及208.91.198.143的587端口。如下圖所示。

其中80端口連接的是https://whatismyipaddress.com/網站用于獲取本地機器的外網IP地址。不過在測試中發現目前該程序無法通過該網站獲取IP地址信息，返回403錯誤。具體如下圖所示：

587端口的數據則是SMTP數據包，用來把本地獲取的信息發送出去。發送和接收的email地址都是india@lledil.com, 郵件標題為是HawkEye Keylogger | Stealer Records | 機器名| 0FABFBFF000506E3。

獲取的數據包如下圖所示：

發送的內容經Base64解密后如下，包括本地機器名，操作系統語言與版本，ip地址、安裝的殺毒軟件和防火墻信息，瀏覽器密碼信息，Mail Messenger密碼，Jdownloader密碼等。具體如下表所示：

==============================================

Operating System Intel Recovery

==============================================

PC Name: WIN-A4B0N3V4K81

Local Time: 2018/12/21 11:26:25

Installed Language: zh-CN

Net Version: 2.0.50727.5420

Operating System Platform: Win32NT

Operating System Version: 6.1.7601.65536

Operating System: Microsoft Windows 7 旗艦版

Internal IP Address: 192.168.92.144

External IP Address:

Installed Anti-Virus:

Installed Firewall:

==============================================

WEB Browser Password Stealer

==============================================

==============================================

Mail Messenger Password Stealer

==============================================

==============================================

Internet Download Manager Stealer

==============================================

==============================================

JDownloader Password Stealer

==============================================

根據獲取的郵箱帳號和密碼，登錄該郵箱發現了上百個目標。郵箱內保存的是2018年10月以來的數據，有些已經被刪除了。如下圖所示。

3、啟動方式和自保護

A.X運行后，會拷貝自身文件到%appdata%\WindowsUpdate.exe，并啟動進程實時保護，如果該目錄下WindowsUpdate.exe被刪除，則又會生成。此外，還在注冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下生成啟動項Windows Update，值為C:\Users\admin\AppData\Roaming\WindowsUpdate.exe，從而確保自啟動。

此外，在%appdata%目錄下，還生成pid.txt（惡意進程PID）和pidloc.txt（惡意進程可執行文件路徑）兩個文件。具體如下圖所示：

4、域名解析

對smtp.lledil.com域名利用whois進行查詢，其結果如下。

四、小結

通過分析，我們可知該文檔是一個組合利用cve-2017-11882和cve-2018-0802漏洞的攻擊文檔，RTF格式通過內嵌EXCEL對象觸發兩個漏洞。釋放運行的PE文件是一個用于搜集用戶敏感信息（比如各種瀏覽器和郵件帳號密碼）的惡意文件，敏感信息通過郵件發送的方式回傳。通過發送的標題“Hawkeye keylogger|Steal…”，懷疑該PE可能是著名的“Hawkeye Keylogger”，也稱為“iSpy Keylogger鍵盤記錄器”，是一種竊取信息的惡意軟件，作為惡意軟件服務出售。

IoC

DOC文檔（RTF）：43f97093c3f812dce0e442c9be7a86a5

PE文件（A.X）：0ed7129ebd65f08a5c7f1f8fa668b72c

C&C：

smtp.lledil.com

india@lledil.com

原文鏈接：https://www.anquanke.com/post/id/168455