一個CVE-2017-11882漏洞新變異樣本的除錯與分析
*本文作者:cgf99,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。
前言
近日收穫一個字尾名為doc的word文件,檢視後其實是rtf格式文件。在測試環境開啟後發現有網路連線和執行程式的動作,確定該樣本是惡意文件。經過初步分析,發現該樣本是CVE-2017-11882漏洞的利用新樣本。CVE-2017-11882漏洞和CVE-2018-0802漏洞基於Office公式編輯器的處理邏輯錯誤 ,是最近office惡意攻擊文件的常用手段。網路上對該漏洞的成因、利用等分析的已經十分到位,比如360天眼實驗室的 ofollow,noindex" target="_blank">利用了Office公式編輯器特殊處理邏輯的最新免殺技術分析(CVE-2017-11882) ,以及騰訊電腦管家的 NDAY漏洞CVE-2017-11882與0Day漏洞CVE-2018-0802漏洞組合傳播遠控木馬的樣本分析 等技術報告。本次樣本與之前各家分析的稍有不同,應是CVE-2017-11882漏洞的又一個變異版本。
一、基本動作
實驗環境:windows 7 x64 sp1中文版,office 2010中文版。
漏洞樣本開啟後,顯示的文件內容為亂碼,如下圖所示。
此外,在%temp%目錄下生成並執行一個名為emre.exe的可執行檔案。抓包發現emre.exe是從 http://ghthf.cf/ cert/ochicha.exe下載生成。如下圖所示。
二、漏洞除錯
1、樣本形態
winhex開啟後如下兩幅圖所示。文件後面直接跟要顯示的內容。
緊隨其後的就是object物件,如下圖所示。
2、RTF初步分析
用rftobj分析後結果如下圖所示。可以看到clsid為0002ce02-0000-0000-c000-000000000046也就是微軟公式編輯器物件。
從圖中我們可以看到,該物件名字為“eQuatiON native”,對正常物件名字“Equation Native”進行了大小寫轉換操作,可能也是追求免殺的一種效果。
3、漏洞除錯
根據各方對漏洞的分析報告,我們直接除錯漏洞所在的函式0041160F。
在經過11次的rep操作後,如下圖,堆疊0x0043F775被覆蓋。
而EQNEDT32.EXE程序0x0043F775處的值是C3,恰好是指令retn。
執行後跳轉到shellcode位置。如下圖所示:
4、shellcode除錯分析
shellcode的位置在eQuatiON native物件中。
分為兩個部分,其中開始的位置0×0826處,B9 C439E66A(見上圖0018F354處的反彙編指令)開始到 0851處,緊隨其後的就是四個位元組0x0043F7F5(EQNEDT32.EXE程序中RETN指令)。第二部分的位置在0x089E處開始一直到結束。
第一部分的shellcode跳轉到第二部分的彙編指令如下圖所示:
經過分析,發現該段的shellcode進行了一系列的jmp跳轉指令操作,因是為了shellcode的混淆和保護。比如下圖所示:
跟蹤後,發現其實主要的任務就是對 shellcode後段進行解密操作。
shellcode加密部分如下圖所示:
解密後的內容如下圖所示:
其主要功能就是呼叫URLDownloadToFile函式從 http://ghthf.cf/cert/ochicha.exe 下載檔案儲存為%temp%目錄下 emre.exe,並呼叫ShellExecuteEx執行。
4、shellcode加解密演算法
shellcode加密部分的解密演算法如下所示。
EDI =0 for(解密字串開始位置處,到結尾,每4個位元組進行操作) { EDI=EDI * 0x2F5E137B EDI+=0x11B7CF3D 明文四個位元組=四個位元組密文 xor EDI }
5、下載exe情況
emre.exe的屬性如下圖所示:
執行竟然需要.net環境。
具體的功能就不分析了。
三、樣本利用
可以說,樣本到手,工具就有。
可以根據該樣本進行改造。
1、不替換shellcode主體部分,只是修改下載的連結為自己的連結即可; 2、修改shellcode為自己shellcode,比如不用網路下載,直接把把exe附加在漏洞樣本內,從shellcode完成釋放和下載動作(或者釋放到啟動目錄下等等)。 3、進行免殺操作。
四、結語
1、動手實踐很重要。通過除錯分析,進一步掌握該漏洞的具體細節; 2、shellcode有一定借鑑意義,比如利用一堆JMP指令混淆真實解密操作。 3、漏洞樣本結構更畸形、簡單。只有一個eQuatiON native物件,其他的啥都沒有。 4、開啟文件要謹慎。 5、及時更新補丁。
*本文作者:cgf99,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。