通过云沙箱捕捉WPS 0day (RCE)漏洞案例分享

admin 2024年9月29日01:49:20评论26 views字数 1310阅读4分22秒阅读模式

1漏洞描述

WPS Office for Windows版本存在RCE(远程代码执行)0day 漏洞,攻击者可以利用该0day漏洞在受害者主机上执行任意恶意文件。该漏洞利用为逻辑型漏洞,具备远程代码执行能力,漏洞利用成功后结合载荷可远程控制目标计算机。而触发该漏洞只需要打开文档即可。

2影响范围

  • WPS Office 2023个人版<11.1.0.15120

  • WPS Office 2019企业版<11.8.2.12085

3高频利用方式

伪装为“薪资调整”、“通知”等主题的诱饵文档进行攻击。

并发现此次攻击有以下特点:

  • 和前几天披露的WPS 0Day有相似之处,都包含了wps相关的域名字符串
  • 没有缓冲区溢出、宏代码等,但触发了可疑网络请求
  • 文档内容具备高可疑性

4修复情况

目前,WPS已经修复该漏洞,提供了升级程序和新安装包。修复时间为23日凌晨1点左右。

5捕捉样本分析

以下2个捕捉案例分别来自微步云沙箱S和安恒云沙箱:

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享
通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

微步云沙箱S分析

疑点一:样本是个WPS文档,但产生了非WPS程序相关的网络行为,大概率存在漏洞利用的行为(在不包含宏等情况的前提下)。

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

进一步分析后,检测团队发现,其在访问两个链接之后会从远程下载两个可执行文件,且下载链接伪装成json结尾,十分异常。

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

疑点二:从文件行为角度看,云沙箱S捕获到该样本在特定目录下创建了两个可执行文件,这个行为对一个文档来说很不寻常。进一步分析发现,创建的文件和从远程下载的伪装成json文件的可执行文件哈希相同,且两个文件利用了白加黑DLL劫持的技术手法,嫌疑十足。

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

再分析恶意DLL,发现其加了UPX壳,包含一个无效的可疑证书。

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

执行起来后会从阿*云对象存储下载下一阶段的载荷并执行,最终通过C2来控制受害主机。

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

经过漏洞团队的验证,微步确认,这是一次真实的未知漏洞攻击。验证后,沙箱检测团队快速补充了静态检测规则,检出如下:

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

安恒云沙箱分析

样本执行后会远程访问

http://foo@[xxx].wps.cn:80@[ip地址]/tutorial.html

↓↓↓

执行脚本

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

该脚本执行后会删除wps目录下的公式编辑器程序,然后脚本会通过如下地址分别下载exe和dll文件

  • http://[ip]/ qingbangong.json  -> [wps安装路径某目录]/EqnEdit.exe

  • http://[ip]/ chuangkit.json -> [wps安装路径某目录]/symsrv.dll

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

其中exe为微软官方exe程序,被重命名为了EqnEdit.exe,另一个dll程序为木马程序,该dll被命名为symsrv.dll。

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

实际上,这是进行白加黑利用,在执行重命名的EqnEdit.exe时,其实执行了symsrv.dll恶意程序。

执行成功后会继续访问云存储下载远程payload,最终实现远控。

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享

6微步分析报告

通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享
通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享
通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享
通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享
通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享
通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享
通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享
通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享
通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享
通过云沙箱捕捉WPS  0day (RCE)漏洞案例分享
Tips:

参考:

https://mp.weixin.qq.com/s/BfORc8vSlI96OiWJpLLZqg https://mp.weixin.qq.com/s/l6XJtgGmP1j7DSC3lOktrA

原文始发于微信公众号(WIN哥学安全):通过云沙箱捕捉WPS 0day (RCE)漏洞案例分享

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月29日01:49:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通过云沙箱捕捉WPS 0day (RCE)漏洞案例分享https://cn-sec.com/archives/1975167.html

发表评论

匿名网友 填写信息