利用了Office公式编辑器特殊处理逻辑的最新免杀技术分析(CVE-2017-1提供澳门金沙娱乐在线,必赢国际登录等产品欢迎广大客户前来洽谈业务合作

首页 > 发展战略 > 利用了Office公式编辑器特殊处理逻辑的最新免杀技术分析(CVE-2017-1

必赢国际登录文章资讯

必赢国际登录产品分类

随机必赢国际登录文章

利用了Office公式编辑器特殊处理逻辑的最新免杀技术分析(CVE-2017-1

来源:澳门金沙娱乐在线 | 时间:2018-09-15

  原标题:利用了Office公式编辑器特殊处理逻辑的最新免杀技术分析(CVE-2017-11882)

  2018年8月24日,360威胁情报中心捕获到一个专门为乌克兰语使用者设计的钓鱼文档:该文档为RTF文件格式,且有详细的文档内容。经过分析确认这是首次发现的针对Office公式编辑器特殊处理逻辑而专门设计的用于绕过杀毒软件查杀的漏洞利用样本,涉及的漏洞正是CVE-2017-11882。

  由于漏洞触发后的Payload已失效,360威胁情报中心在本文中专门针对样本使用的特殊免杀技术进行详细分析,并提醒各杀毒软件厂商做好针对该利用方式的检测。由于该免杀技术已经出现在在野利用的样本中,后续可能会有大量实际攻击样本使用该免杀手段逃过杀软检测,形成新的威胁。

  捕获到的样本在VirusTotal上查杀效果如下,首次上传时仅有4家杀软可以查杀,且仅有两家杀软能正确识别漏洞,如果稍加改动几乎可以躲过所有杀软的查杀:

  而这样一个“畸形”的CVE-2017-11882漏洞利用文档,竟然能成功触发漏洞利用。

  我们先复习一下正常的RTF文档中利用Office公式编辑器漏洞的方式,以CVE-2017-11882为例:

  首先,RTF文档中会被插入一个objdata,紧跟在RTF控制字“\objdata”后,随后的数据结构为4字节的版本标识、format_id(embed代表嵌入式)、OLE流名字(Equation.3)等等:

  360威胁情报中心针对该特殊的漏洞利用技术进行了详细分析,整个分析过程如下。

  带着Office为什么可以正确处理嵌入的非OLE对象(且该对象是一个没有公式头的公式对象)这一疑问,我们详细分析了Office处理RTF文档中嵌入的\objdata对象的过程,整个处理过程可以用以下流程图表示:

  随后WINWORD.EXE会调用ole32!Load函数加载该CLSID对应的对象,最终定位到函数ole32!CoIsOle1Class,该函数判断CLSID是不是有效的Ole1Class对象,不是有效的Ole1Class对象则直接返回,是有效的Ole1Class对象则调用接口处理剪切板数据,以下是加载处理公式对象的过程:

  可以看到,本次捕获到的免杀样本在处理过程中,由于读取Equation Native失败,所以Equation通过读取01Ole10Native流大小来直接处理后面附加的公式数据(03010103…):

  最后将流数据传入sub_42F8FF函数实现具体01Ole10Native流处理,最终成功触发漏洞:

  我们回顾Office处理RTF中\objdata对象的流程可以总结出该免杀样本触发Equation漏洞的过程:

  由于该免杀样本\objdata后附带非CFB格式的数据(D0 CF 11…),而正常情况必然是携带的CFB数据,并且以CFB数据中获取的clsid为准寻找处理该对象的程序(如Equation),这直接导致绕过大部分杀软的检测逻辑。并且后续的公式数据没有公式对象头等特征,也使得部分杀软抓瞎,这是该样本绕过杀软检测的主要原因。

必赢国际登录国际产品