CVE-2018-0802復現並繞過殺軟動態檢測
0X00 寫在前面
17年的時候,有一個潛伏了17年的漏洞——「噩夢公式」,即CVE-2017-11882,微軟發布了補丁。2018年1月10日凌晨,微軟又發布新一輪安全更新,修復了由奇虎360核心安全高級威脅應對團隊捕獲的office高危漏洞——CVE-2018-0802,此漏洞技術原理類似於CVE-2017-11882,攻擊者也是利用office內嵌的公式編輯器EQNEDT32.EXE進行攻擊,繞過了11882的補丁,關於此漏洞的具體分析可以看此文
關於此漏洞exp我在github上找了一下,發現這個版本的exp用起來有效果,本文的復現主要在此exp基礎上完成
0X01 漏洞復現
進行無殺軟環境的簡單復現
- 下載exp
- Ridter/RTF_11882_0802
- 利用CS選擇一個攻擊模塊並開啟監聽器(這裡選擇regsvr32來執行命令,因為上面的exp最多只能注入109bytes長度的命令)
- 運行exp,生成惡意doc文件
- 再換個名字
- 發給受害者,等待Ta點擊上線
- 測試版本Word2016
- 機器上線
0X02 殺軟測試
這裡選擇兩款主流殺軟進行測試,剛下載安裝的最新版,為了避免引起糾紛,就叫它們小衛和小管吧
- 首先來測試下文件本身是否能過殺軟
- 小衛掃描結果——無風險
- 小管掃描結果——無風險
- 接著測試一下打開文件是否會觸發主動防禦或實時防護
- 小衛觸發主動防禦攔截regsvr32執行
- 小管觸發實時防護攔截regsvr32執行
可以看出,文件本身不會被殺,但是惡意行為會被這兩款殺軟動態檢測並攔截
0X03 at執行
殺軟現在基本都會對惡意行為進行攔截提示,比如註冊表操作、添加服務、添加/修改管理員、文件寫入、注入DLL等,不過繞過動態行為檢測的方法其實還是不少的,雖然我一個也不會 : )
由於此漏洞exp本身限制(最多只能注入109 bytes長度的命令),加上我的測試環境是Windows7,所以我決定用計劃任務at命令來進行繞過,這個短小精悍的命令可以說是老一輩黑客們和apt組織最常用的命令之一,後來從Windows 8開始被棄用,僅保留了schtasks命令,命令本身就超過了exp長度限制,或許可以等更強大版本的exp公布使用
先來使用一下at命令運行一下計算器
雖然沒有彈出calc的圖形程序,但是可以在進程中看到當系統時間到達設置時間的時候,calc程序已經運行了
想要界面交互可以用上/interactive參數,能與當前用戶交互,但不保證成功交互,我猜測運行效果可能是根據各操作系統版本而定
生成文件(截圖時間不是測試時的遠控執行時間)
開啟殺軟小管
at命令執行成功
成功上線
有點晚了還要回家,就沒測試另一款殺軟了,應該也是能過的
0X04 後記
本文主要對CVE-2018-0802進行復現,並用at命令繞過動態檢測,實測效果一般,at通用性不高且有一定失敗率,後續如果有時間還會研究學習一下其他方法
0x05 參考鏈接
- CVE-2017-11882
- CVE-2018-0802
- 「噩夢公式」二代 | 2018年微軟修復的首個Office 0day漏洞(CVE-2018-0802)分析
- Ridter/RTF_11882_0802
推薦閱讀:
※機器的黎明 -- 第24屆DEF CON CTF總決賽亞軍隊員訪談
※因筆記本電腦預裝廣告軟體問題,聯想支付350萬美元與FTC和解
※反擊黑客之對網站攻擊者的IP追蹤
※如何看待招行一網通強制改為手機登錄並使用弱密碼?
※「點開我的鏈接我就能控制你的電腦」之Facebook Messenger版(需安裝軟體)
TAG:信息安全 |