吾愛破解 - LCG - LSG |安卓破解|病毒分析|破解軟件|www.vuyuem.live

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 2070|回復: 10
上一主題 下一主題

[PC樣本分析] CVE-2017-0199漏洞利用樣本分析

[復制鏈接]
跳轉到指定樓層
樓主
hjm666 發表于 2019-10-22 17:08 回帖獎勵
使用論壇附件上傳樣本壓縮包時必須使用壓縮密碼保護,壓縮密碼:52pojie,否則會導致論壇被殺毒軟件等誤報,論壇有權隨時刪除相關附件和帖子!
本帖最后由 hjm666 于 2019-10-22 17:21 編輯

CVE-2017-0199漏洞利用樣本分析



        一路成長路上總要留下點什么。


樣本信息

md5 :0087AA25E20070186AC171BE6C528DA6
文件大小:31752 字節(31kb)
文件類型:PDF


        樣本初始文件是由PDF文件偽裝,在其PDF數據流段中隱藏了,一個word文件,且在其PDF中隱藏了一段JS代碼,當PDF被打開后,JS代碼會被執行隨后,會調用計算機默認打開word文件的軟件打開該word文件,隨后如果計算機默認關聯打開word文件的軟件是該漏洞版本內的office,會默認執行下載word中的惡意鏈接。

   用PDFstreamDumper 查看該PDF的各個段數據,這是內嵌數據流段的Word文件



隱藏的JS代碼,該代碼使用exportDataObject函數導出該word文件,執行后讓計算機打開該wrod文件



     簡述一下 CVE-2017-0199 漏洞原理 :漏洞利用office OLE對象鏈接技術,將惡意鏈接包裹至文檔內,文檔被打開后該惡意鏈接能被執行。


將word文件轉存下來后,解壓下來在  word\_rels文件夾的document.xml.rels文件中找到了該word攜帶的惡意鏈接地址。



攻擊載荷




文件md5 :AAFD0EBFE1AFBCAE1834430FEEBD5A31
文件類型:BinExecute/Microsoft.EXE[:X86]
時間戳:2013-5-19 23:53:57
是否加殼:無殼
編譯語言:nsis打包程序


樣本描述;
           該樣本為NSIS的打包程序,運行該樣本后,樣本會陸續調用其資源文件中 [collages.dll Corticoid.cab System.dll] (其中System.dl為無害),隨后調用LoadLibraryExA函數加載System.dllSystem.dll 會繼續調用collages.dll地址并調用LoadLibraryA函數加載collages.dll, collages.dll會對Corticoid.cab壓縮文件進行解密操作將樣本的核心shellcode解密出來,隨后collages.dll會進程注入技術,創建一個子傀儡進程,將解密出的shellcode數據,注入進子進程中并執行shellcode,以達到偽裝目的執行惡意代碼。
發現其是nsis 打包后的軟件后,用7-zip進行解壓,可看到其相關資源文件。該cab文件是一個損壞文件,cab壓縮文件大小及其文件類型及其可疑是shellcode


資源文件




加載資源文件,一開始分析了這兩個dll,沒有發現什么惡意行為代碼,把注意力放在了cab文件中,在打包程序中轉了好久,(忽略了collages.dll 中大量的指針函數利用導致浪費了大量時間)





進入collages.dll 后,該dll會進行大量的進程遍歷,多次循環用來延遲殺毒軟件分析時間

讀取cab文件

獲取解密函數對資源段中的cab文件進行解密,解密出shellcode

解密出來的shellcode

創建子進程,準備進行注入shellcode


Process Hollowing 進程注入后任務欄中會出現一個同名子進程,看起來是正常的,這種技術可以對運行中的進程進行動態修改,并且整個過程既不用掛起進程    步驟簡述:創建一個掛起的進程,卸載它原來的模塊,寫入惡意數據,進行恢復線程詳解見看雪:https://bbs.pediy.com/thread-224706.htm

  進行注入前準備工作



從解密出的cab壓縮數據中的shellcode截取出注入新線程

注入完成后,該dll 分別利用了SetThreadContext 設置子進程的入口,ResumeThread創建一個掛起的線程,至此該shellcode以及執行


    子進程掛起后想要進行相關調試的話,需要在剛創建子進程時對子進程進行附加,此時OD要設置在新模塊載入是斷下,即可斷下,父進程也能正常進行調試,然后根據SetThreadContext設置的入口偏移地址斷點。 個人沒有在ResumeThread之后沒有讓子進程停在入口處,以及不能進行正常調試。       最后撿起了,在還沒有進行注入前解密出來時dump下來的 shellcode 進行調試以及分析 (至于為什么這個時候dump下來,當時dump下來以為是400多個函數,20幾個API以為IAT,dump過不知道多少次,浪費了很多時間···)

shellcode分析

功能描述     
      運行該shellcode 后,該shellcode會通過讀取特定的一些注冊表鍵值,盜取用戶個人的瀏覽器等敏感數據,以及盜取用戶FTP等敏感信息,還在特定目錄中遍歷相關文件,獲取用戶計算機中所安裝的相關軟件,利用注冊表鍵值以及各敏感文件獲取到用戶的數據后,會對數據進行md5加密,并將加密后的數據向目標服務器發送,與此同時還會在用戶本地創建隱藏目錄,并將自身數據拷貝隨機命名,同時設置為隱藏文件,潛伏在用戶目錄中。
簡單流程

    查找文件,獲取相關注冊鍵值內容















獲取了與FTP相關的還有:
file:C:\Users\test\AppData\Roaming\FileZilla\recentservers.xml
file: C:\Users\test\AppData\Roaming\Far Manager\Profile\PluginsData\42E4AEB1-A230-44F4-B33C-F195BB654931.db
file: C:\ProgramFiles(x86)\FTPGetter\Profile\servers.xml
file:C:\Users\test\AppData\Roaming\FTPGetter\servers.xml
file:C:\Users\test\AppData\Roaming\Estsoft\ALFTP\ESTdb2.dat
key: HKEY_CURRENT_USER\Software\Far\Plugins\FTP\Hosts
key:HKEY_CURRENT_USER\Software\Far2\Plugins\FTP\Hosts
key: HKEY_CURRENT_USER\Software\Ghisler\TotalCommander
key: HKEY_CURRENT_USER\Software\LinasFTP\SiteManager

獲取的瀏覽器敏感文件有:

file: C:\Users\test\AppData\Roaming\Mozilla\Firefox\Profiles\i072kp8z.default-1494515848972\secmod.db
file:C:\Users\test\AppData\Local\Google\Chrome\User Data\Default\Login Data
file:C:\Users\test\AppData\Roaming\Mozilla\Firefox\Profiles\i072kp8z.default-1494515848972\cert8.db
file: C:\Users\test\AppData\Roaming\Mozilla\Firefox\Profiles\i072kp8z.default-1494515848972\key3.db
file:C:\Users\test\AppData\Roaming\Mozilla\Firefox\Profiles\i072kp8z.default-1494515848972\signons.sqlite
file:C:\Users\test\AppData\Roaming\Mozilla\Firefox\profiles.ini


同時也獲取本地文件路徑創建隱藏文件夾


收集相關文件后開始處理數據向目標服務器發送數據
測試目標服務器

構建請求頭

數據進行發送

將自身數據替換

替換后的隱藏文件程序





   如有錯誤,還望指正,謝謝!


免費評分

參與人數 4威望 +1 吾愛幣 +10 熱心值 +4 收起 理由
Hmily + 1 + 7 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
min_x91 + 1 + 1 [email protected]
zslbinx + 1 + 1 熱心回復!
wlq127 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!

查看全部評分

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

沙發
wlq127 發表于 2019-10-22 17:50
看不懂。。但是覺的很歷害。。。。
3#
o651560441 發表于 2019-10-22 18:46
這些樓主的分享經驗,一般我只能找找xss的不像樓主能分析這么多
4#
chenjingyes 發表于 2019-10-22 22:58
5#
ddlam 發表于 2019-10-23 00:53
謝謝分享!
6#
至尊丶夏末之刃 發表于 2019-10-23 09:02
之前一直在等的就是這個。。。
7#
chmod755 發表于 2019-10-23 10:52
樓主方便把pdf的那個樣本傳上來嗎? 我們也想學習學習
8#
a5582323 發表于 2019-10-23 16:47
分析的很詳細  謝謝樓主分享
9#
xiaoping02451 發表于 2019-10-23 19:32
臥槽,大佬啊。
10#
雨夜故園 發表于 2019-11-6 14:00
謝謝樓主無私的分享
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:禁止回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

GMT+8, 2019-12-9 11:02

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
新快赢481走势图200