一个excel邮件攻击样本的简要分析

admin 2022年6月6日20:47:39评论42 views字数 1613阅读5分22秒阅读模式
一个excel邮件攻击样本的简要分析

一、基本情况

一个excel邮件攻击样本的简要分析

六一节,收到攻击邮件,附件包含一个excel文档,诱使用户打开

一个excel邮件攻击样本的简要分析

下载附件后,打开excel文档,显示为1个空文档,如下所示:

一个excel邮件攻击样本的简要分析

其实,在打开文档的时候,后台已经打开下载连接,

下载地址是:http://www.sanbarts.com/sdyy4y.exe

一个excel邮件攻击样本的简要分析

下载保存为本地%appdata%目录下,名为word.exe:

一个excel邮件攻击样本的简要分析

文件属性如下:

一个excel邮件攻击样本的简要分析

同时,word.exe运行后,会在%temp%目录下生成lvjudcwop.exe,以及其他两个非exe的文档,如下图所示:

一个excel邮件攻击样本的简要分析

进程执行顺序如下:如图所示:

excel.exe->EQNEDT32.EXE->word.exe->lvjudowop.exe

一个excel邮件攻击样本的简要分析

因此,可以大致推断:本次邮件是利用cve-2017-11882(EQNEDT32.EXE公式编辑器漏洞)进行攻击。攻击逻辑:

访问下载http://www.sanbarts.com/sdyy4y.exe,保存为word.exe并运行,word.exe运行后又释放lvjudowop.exe运行。


一个excel邮件攻击样本的简要分析

二、word.exe简要分析

一个excel邮件攻击样本的简要分析

接下来,我们看看word.exe

删除%temp%目录下nsa20c4.tmp文件

一个excel邮件攻击样本的简要分析

到0x841C位置

一个excel邮件攻击样本的简要分析

我们直接静态看:0x841c,也可以看出word.exe真实的EXE长度其实就到这边了,后续带的都是附加的内容。

一个excel邮件攻击样本的简要分析

动态调试,可以看到ReadFile读的数据和上面静态内容一致,如下图。

一个excel邮件攻击样本的简要分析

之后,释放并生成文件:kcblmjjlps、 lvjudcwop.exe、oxq57q9q0cduyzn,之后,调用CreateProcess函数运行lvjudcwop.exe,参数为kcblmjjlps文件,如下图所示:

一个excel邮件攻击样本的简要分析


一个excel邮件攻击样本的简要分析

三、lvjudcwop.exe简要分析

一个excel邮件攻击样本的简要分析

首先打开kcblmjjlps文件

一个excel邮件攻击样本的简要分析

分配一段缓冲区,并进行初始化赋值

一个excel邮件攻击样本的简要分析

再分配一段内存,大小为0x136c(正是kcblmjjlps文件长度),调用fread读取文件内容到缓冲区0xD00000,如下图所示,读取的正是kcblmjjlps实际内容。

一个excel邮件攻击样本的简要分析

对缓冲区0xD00000内容进行解密操作,解密后的内容如下图所示:

一个excel邮件攻击样本的简要分析

调用EnumSystemCodePagesA函数执行解密内容(作为代码执行)

C++复制BOOL EnumSystemCodePagesA([in] CODEPAGE_ENUMPROCA lpCodePageEnumProc,[in] DWORD dwFlags);

一个excel邮件攻击样本的简要分析

汇编代码如下:

一个excel邮件攻击样本的简要分析
动态获取GetTempPath、GetModuleFileName、LoadLibary、…等函数的内存地址

一个excel邮件攻击样本的简要分析

打开oxq57q9q0cduyzn文件

一个excel邮件攻击样本的简要分析

读取文件内容:

一个excel邮件攻击样本的简要分析

对文件内容进行解密操作,解密后该内容其实是PE可执行文件,如下图所示:

一个excel邮件攻击样本的简要分析


一个excel邮件攻击样本的简要分析

四、小结

一个excel邮件攻击样本的简要分析

CVE-2017-11882漏洞由于稳定、效果好等特点,经久不衰,CVE-2017-11882漏洞变异样本层出不穷。

IOCS:http://www.sanbarts.com/sdyy4y.exe当前解析指向Ip:45.120.185.113
名称
大小
MD5 HASH
sdyy4y.exe/word.exe 253,655 4dc515da30da0caad44d16bce0dcf446
kcblmjjlps 4,972 7af109e383f4d8db9dc950ea56808886
oxq57q9q0cduyzn 189,439
56922abe546e363280c3bb3502f0c8b0
lvjudcwop.exe 57,344 bd8822afbce872737ccc6a077bbf98c1

作者: cgf99,文章转载于FreeBuF.COM


一个excel邮件攻击样本的简要分析

END

一个excel邮件攻击样本的简要分析

• 往期精选

一个excel邮件攻击样本的简要分析
一个excel邮件攻击样本的简要分析

windows提权总结

一次SSH爆破攻击haiduc工具的应急响应

记一次艰难的SQL注入(过安全狗)

记一次溯源

一个excel邮件攻击样本的简要分析

下方点击关注发现更多精彩

原文始发于微信公众号(银河护卫队super):一个excel邮件攻击样本的简要分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月6日20:47:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一个excel邮件攻击样本的简要分析https://cn-sec.com/archives/1092077.html

发表评论

匿名网友 填写信息