腾讯反病毒实验室预警:CVE-2017-11882漏洞最新利用方法
概述
此前,腾讯反病毒实验室第一时间跟进了CVE-2017-11882漏洞,并率先发布了预警和样本分析;刚刚,腾讯反病毒实验室再次发现了针对该漏洞利用的最新利用方法,可以将可执行程序直接嵌入到钓鱼文档中,运行文档时会直接运行嵌入到文档中的恶意exe文件。
这种最新利用方法与之前的利用方式最大的不同在于:以往的利用都是通过恶意文档加载mstha或者powershell或者cmd等程序从网络加载恶意程序,而此次发现的利用方式则会直接运行恶意程序。也就是说在用户断网的情况下,以往通过网络下发恶意脚本的攻击方式会失效,而最新利用方法则不需要连网操作,断网情况下仍然可以达成有效攻击,这种攻击情景对于传播勒索软件十分有效。
在这种最新利用方法下,用户运行恶意文档时,嵌入到文档中的恶意程序会自动加载。整个过程中无需用户干预,在攻击效果上堪比CVE-2012-0158漏洞,该漏洞很有可能会成为各大APT组织的必备漏洞利用库之一,应引起足够重视。
分析
针对该种利用方法的恶意文档,主要有两个部分组成:一是package对象,用来将恶意程序释放到临时目录下的指定文件名。二是公式组件,用来触发漏洞,加载临时目录下的指定文件名的文件执行。
我们以其中一个样本为例进行分析。在该Rtf文件中,包含有2个objdata对象
将两个对象保存出来后,发现其中一个为Package对象,其内部嵌入了一个PE文件。
通过对Package对象结构分析可以发现,Package对象的主要的几个数据结构如下
| Label | jjjjjjjjjjjjjjjjjjj.j |
|---|---|
| OrgPath | Z:\home\localhost\www\doc\jjjjjjjjjjjjjjjjjjj.j |
| DataPath | C:\Users\my\AppData\Local\Temp\jjjjjjjjjjjjjjjjjjj.j |
这些字段表明在该文档被打开时,会将该package对象的数据部分释放到临时目录下的jjjjjjjjjjjjjjjjjjj.j文件中。
而另一个objdata用来触发漏洞。漏洞触发成功后,会直接加载临时目录下的jjjjjjjjjjjjjjjjjjj.j执行。
恶意样本通过将package对象与CVE-2017-11882漏洞结合起来,package对象负责将恶意程序释放到指定名称目录下,CVE-2017-11882漏洞负责加载恶意程序执行,两者相互配合达成攻击目的。
总结
在腾讯反病毒实验室捕获的最新的利用样本中,winword进程加载的程序只是putty.exe和hijack.exe,这表明黑客正在对这种利用方式进行测试,但从样本利用效果上看,这种攻击方式十分有效,腾讯反病毒实验室预测该方法此后将会被越来越多的黑客用来传播勒索软件,请广大用户及时升级补丁,安装腾讯电脑管家等安全软件进行防护。目前腾讯哈勃分析系统(https://habo.qq.com/)已经可以识别此类攻击手法,对于可疑文档文件,也可通过腾讯哈勃分析系统进行扫描判别。
*本文作者:腾讯电脑管家;转载请注明来自 FreeBuf.COM
这些评论亮了