遇到gamaredon组织攻击乌克兰的word样本,VT杀软大部分报CVE-2017-0199,也有说是word远程模板,非CVE-2017-0199漏洞,现在好奇到底是word远程模板还是CVE-2017-0199漏洞利用
先看gamaredon样本的行为,md5:b221647d110bd2be2c6e9c5d727ca8db是一个word文档,word.exe请求了http://micro-set.ddns.net/micro.dot文件(是一个恶意宏文件,md5:664560cd7c51365cb9032f978c069420),word.exe并执行了这个宏文件,在启动目录创建了一个VBS脚本执行后续恶意行为。有图才有真相:
请求恶意宏文件
word.exe进程在临时目录生成的恶意宏文件及对应md5
接下来分析一下CVE-2017-0199漏洞长什么样子吧!
1、msf生成CVE-2017-0199漏洞样本,弹出计算器
2、把漏洞样本a.doc放到windows系统上打开(注意:不用点击更新文档的是按钮,计算器就会弹出)
这个过程中下载了default.hta文件,wireshark数据包可以看到
default.hta文件是临时保存,具体位置如下:
3、计算器启动过程监控:是由mshta.exe调用powershell.exe,再调用powershell.exe(注意2此调用的参数不一致),最后调用calc.exe,如图:
4、打开default.hta文件,分析该文件内容(这个步骤会很繁琐)
首先:default.hta文件是一个VBS脚本,作用是执行第一个powershell程序,参数是一段base64加密的内容(对应第一个powershell进程)
再次:上一个步骤中的base64加密数据解密如下图,作用是又创建了一个powershell进程(对应第一个powershell进程)
根据参数做调试,获取实际执行代码如下图:
就是创建了一个线程,运行了红框处的代码,使用set-content -path D:\a -value $uH -encoding byte命令保存代码到文件(是一段shellcode,这段shellcode启动了计算器)
最后shellcode调试,使用WinExec函数启动calc程序,如图:
CVE-2017-0199漏洞利用整个过程就结束了。
两种技术还是有明显区别的,不是CVE-2017-0199漏洞利用。
