CVE-2018-0802復現並繞過殺軟動態檢測

0X00 寫在前面

17年的時候，有一個潛伏了17年的漏洞——「噩夢公式」，即CVE-2017-11882，微軟發布了補丁。2018年1月10日凌晨，微軟又發布新一輪安全更新，修復了由奇虎360核心安全高級威脅應對團隊捕獲的office高危漏洞——CVE-2018-0802，此漏洞技術原理類似於CVE-2017-11882，攻擊者也是利用office內嵌的公式編輯器EQNEDT32.EXE進行攻擊，繞過了11882的補丁，關於此漏洞的具體分析可以看此文

關於此漏洞exp我在github上找了一下，發現這個版本的exp用起來有效果，本文的復現主要在此exp基礎上完成

0X01 漏洞復現

進行無殺軟環境的簡單復現

• 下載exp
• Ridter/RTF_11882_0802

• 利用CS選擇一個攻擊模塊並開啟監聽器(這裡選擇regsvr32來執行命令，因為上面的exp最多只能注入109bytes長度的命令)

• 運行exp，生成惡意doc文件

• 再換個名字

• 發給受害者，等待Ta點擊上線
• 測試版本Word2016

• 機器上線

0X02 殺軟測試

這裡選擇兩款主流殺軟進行測試，剛下載安裝的最新版，為了避免引起糾紛，就叫它們小衛和小管吧

• 首先來測試下文件本身是否能過殺軟
• 小衛掃描結果——無風險

• 小管掃描結果——無風險

• 接著測試一下打開文件是否會觸發主動防禦或實時防護
• 小衛觸發主動防禦攔截regsvr32執行

• 小管觸發實時防護攔截regsvr32執行

可以看出，文件本身不會被殺，但是惡意行為會被這兩款殺軟動態檢測並攔截

0X03 at執行

殺軟現在基本都會對惡意行為進行攔截提示，比如註冊表操作、添加服務、添加/修改管理員、文件寫入、注入DLL等，不過繞過動態行為檢測的方法其實還是不少的，雖然我一個也不會 : )

由於此漏洞exp本身限制(最多只能注入109 bytes長度的命令)，加上我的測試環境是Windows7，所以我決定用計劃任務at命令來進行繞過，這個短小精悍的命令可以說是老一輩黑客們和apt組織最常用的命令之一，後來從Windows 8開始被棄用，僅保留了schtasks命令，命令本身就超過了exp長度限制，或許可以等更強大版本的exp公布使用

先來使用一下at命令運行一下計算器

雖然沒有彈出calc的圖形程序，但是可以在進程中看到當系統時間到達設置時間的時候，calc程序已經運行了

想要界面交互可以用上/interactive參數，能與當前用戶交互，但不保證成功交互，我猜測運行效果可能是根據各操作系統版本而定

生成文件(截圖時間不是測試時的遠控執行時間)

開啟殺軟小管

at命令執行成功

成功上線

有點晚了還要回家，就沒測試另一款殺軟了，應該也是能過的

0X04 後記

本文主要對CVE-2018-0802進行復現，並用at命令繞過動態檢測，實測效果一般，at通用性不高且有一定失敗率，後續如果有時間還會研究學習一下其他方法

0x05 參考鏈接

• CVE-2017-11882
• CVE-2018-0802
• 「噩夢公式」二代 | 2018年微軟修復的首個Office 0day漏洞（CVE-2018-0802）分析
• Ridter/RTF_11882_0802

推薦閱讀：