利用CVE-2017-11882进行敏感目标的攻击 安全响应中心

admin 2019-9-21 261

情报提交人:

julian

情报简介:

1 详细说明(必填)

使用CVE-2017-11882进行攻击,行为捕获启动文档后公式编辑器启动,并且执行了文件。

木马文件使用白利用方式存放,经过多次内存装载执行最终实现具备数据上传、下载以及收集主

机信息、特定文件等典型窃密功能 。 

2 情报来源

邮箱获取

3 样本分析

使用CVE-2017-11882进行攻击,行为捕获启动文档后公式编辑器启动,并且执行了文件。

样本执行后,触发漏洞,通过一段 ROP 链执行 shellcode, shellcode 初始化 JS 脚本执行环境,然后托管执行被释放到临时目录的Package 对象 1.a.。 JS 文件释放微软白利用组合文件,经过多重内存装载执行实现其窃密功能。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:报告指出,黑客用于执行攻击的端口前三位是SSH、HTTP和HTTPS
下一篇:APT-C-37解析报告
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回