微软公式编辑器(EQNEDT32)漏洞样本分析
CVE-2018-0798漏洞分析
公式编辑器存在多个漏洞CVE-2017-11882和CVE-2018-0802
该样本利用的漏洞为CVE-2018-0798
出现漏洞的函数为sub_443F6C(无随机基址),该函数内部并没有对参数 v12 的长度做限制
从而导致栈溢出
在OD里面比较直观,我们可以看到,在长度不限的情况下,我们是可以覆盖到上层函数的返回地址,这样我们便可以劫持到EIP,执行我们的shellcode
然而该样本并没有直接劫持EIP跳转到shellcode,而是用了下述的方法(该组织的shellcode也是相当有意思)
在上述中我们有看到 sub_443F6C 函数执行了两次,两次执行后,只是为了构造下面函数的参数
第4个参数的内容
我们可以看到a4是第4个参数,因此我们可以控制memcpy源地址的内容
通过控制第二个和第三个参数,修改该区域指令为jmp短跳,并把想要复制的内容放进来
到这里已经淹没了返回地址,一个短小的ROP链,还是比较容易理解
继续执行便到了我们刚才复制过去的数据,因为公式编辑器并没有开启DEP,所以可以直接执行
这里是之前构造的代码,对eax进行计算从而跳转到shellcode。
到这里有个疑问,为什么要计算出,0x45BD3C这个地址呢?
其实这是一个基址,这个地址里保存的值永远是 0x12F560
而对0x12F560+0x14=0x12F574 又进行取值,这里边保存就是我们的word程序传入的buffer了
取出来的值+固定的offset,就是真正的shellcode了
样本概况
样本为一个word类型的文档,打开后如下
运行该样本后,发现该样本创建了计划任务
用oletools工具对doc文档进行分析,内置4个ole对象
id为0和1的,明显是与0xFC异或加密,解密后是一个PE文件
id为3的包含了漏洞利用的代码
恶意代码分析之shellcode
之前的介绍中,已经调试到shellcode部分
该段shellcode首先会通过异或0xb9解密自身
通过PEB的方法,获取msvcrt.dll,kernel32.dll的基址
获取msvcrt模块的clearerr函数地址,并修改其地址属性
进行inlineHook
hook之后,可以传入,字符串从而获取API的地址,不是用普通的GetPorcAddress
而是调用了ntdll的 LdrGetProcedureAddress
然后读取临时目录下的8.t,并在内存中解密
因为当前是调试状态,他会通过GetModuleFileName获取当前模块名,并创建一个同名的线程
傀儡进程技术,写入真正要执行的代码,就是释放的8.t,然后ResumeThread并结束自身
Loader
8.exe会在临时目录释放,两个文件,并创建计划任务
![1565779110142]
白名单程序分析
如图释放的exe为有签名的白名单文件,是一个白利用程序
wce.dll是被更改过的黑dll,该dll获取导出函数[email protected]并调用
该函数解密域名后会进行链接,nicetiss54.lflink.com
发送的数据为 GET请求 image/logo.png
该图片应该是一个PE文件,会去执行他的导出函数
)
注:可以利用样本制作exp,这里不放exp,附上样本,有兴趣的可以自己编写。(授人鱼不如授人以渔)