cve-2017-11826

漏洞编号：

CVE-2017-11826

漏洞影响软件：

Microsoft Office Compatibility Pack Service Pack 3

Microsoft Office Online Server 2016

Microsoft Office Web Apps Server 2010 Service Pack 2

Microsoft Office Web Apps Server 2013 Service Pack 1

Microsoft Office Word Viewer

Microsoft SharePoint Enterprise Server 2016

Microsoft Word 2007 Service Pack 3

Microsoft Word 2010 Service Pack 2 (32-bit editions)

Microsoft Word 2010 Service Pack 2 (64-bit editions)

Microsoft Word 2013 RT Service Pack 1

Microsoft Word 2013 Service Pack 1 (32-bit editions)

Microsoft Word 2013 Service Pack 1 (64-bit editions)

Microsoft Word 2016 (32-bit edition)

Microsoft Word 2016 (64-bit edition)

Word Automation Services

Word Automation Services

漏洞样本分析：

a. 样本运行后，会首先进行堆喷布置shellcode。漏洞利用成功后，会通过栈交换，ROP攻击等方式绕过ASLR并跳转到以下shellcode入口处。

最新CVE-2017-11826漏洞利用样本分析

b．shellcode中获取API地址的方法皆是通过Hash值匹配函数名，获取函数地址（以下示例为获取VirtualAlloc函数地址）。

最新CVE-2017-11826漏洞利用样本分析

c．通过遍历进程中的句柄，查找到文件，符合大小0xA000 ~ 0×200000之间，并且初始数据为0x74725C7B（rtf文件头），找到即是自身的rtf文件。

最新CVE-2017-11826漏洞利用样本分析

d．对找到的文件进行搜索，通过0xFEFEFEFE，0xFFFFFFFF定位到一段加密的shellcode。

最新CVE-2017-11826漏洞利用样本分析

e．继而通过异或（0xBCAD3333）对shellcode进行解密，并跳转执行。

最新CVE-2017-11826漏洞利用样本分析

f. 拼接一个文件名，并创建该文件（%temp%….\Roaming\Microsoft\Word\STARTUP..wll）。

最新CVE-2017-11826漏洞利用样本分析

g. 继续对文件内容向下搜索，再次通过0xBABABABA定位到一段加密的数据。

最新CVE-2017-11826漏洞利用样本分析

h．通过异或（0xCAFEBABE）解密，解密到值为0xBBBBBBBB为止。解密出来是一个dll文件，然后将它写入到..wll文件中。

最新CVE-2017-11826漏洞利用样本分析

i．然后跳过0xBB，继续向后进行解密（0xBAADF00D），到解密出的数据为0xBCBCBCBC为止。

最新CVE-2017-11826漏洞利用样本分析

j．最后解出来的数据为一个新的rtf数据文件，然后将其写回到原rtf文件。

最新CVE-2017-11826漏洞利用样本分析

k．最终解密出来的rtf文件如下：

最新CVE-2017-11826漏洞利用样本分析

该文档是为缅甸语编写，文档内容与某恐怖组织相关，再结合后续回连的C&C服务器，此次攻击应为一次APT定向攻击。

通过翻译发现该文档与恐怖组织德穆尔圣战组织相关。

释放动态库分析：

a. 释放的动态库主要有两个功能，一是下载payload压缩包并运行，二是上传系统信息。

b. Dll运行后下载https://cdn1.mymyawady.com/x4/dll/logo.jpg，这其实是一个压缩包。

最新CVE-2017-11826漏洞利用样本分析

c. 下载成功后，保存到系统临时目录，文件名称以_@开始。随后利用expand.exe解压文件。

d. 解压之后，创建进程，执行解压出的exe。由于之前的木马下载地址已经失效，暂时无法对木马进行深入分析。

e. 如果上述下载，解压，运行失败，会继续尝试一次，但url是https://cdn2.mymyawady.com/x4/dll/readme.txt。

f. 之后不管是否成功，都会上传系统信息。会收集系统的SID、账号、计算机名称、本地IP、所下载url、公网IP等。

最新CVE-2017-11826漏洞利用样本分析

g. 并把之前那两个url是否下载成功附加在后边，如果成功是Success，识别是Failed。

最新CVE-2017-11826漏洞利用样本分析

h. 上述数据经过Base64编码之后，通过POST协议发送给https://cdn3.mymyawady.com/x4/dll/info.php。

最新CVE-2017-11826漏洞利用样本分析

IOC：

https://cdn1.mymyawady.com/x4/dll/logo.jpg https://cdn2.mymyawady.com/x4/dll/readme.txthttps://cdn3.mymyawady.com/x4/dll/info.php

45.77.46.81

解决方案：

1. 及时更新并安装微软2017 年10月10日发布的补丁。

补丁链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826

这些评论亮了

fiysky(3级)其实我叫fifysky回复

相比之下，360就小气很多了

)7(亮了

发表评论

已有 8 条评论

fiysky (3级)其实我叫fifysky 2017-10-17回复1楼

相比之下，360就小气很多了

亮了(7)
- buyi_cn (2级) 2017-10-17回复
  
  @ fiysky 360：有洞！快补！（手动滑稽）
  
  亮了(1)
yllen 2017-10-17回复2楼

某3X0公司说，会稍后放出细节，怕是要等11天之后了，相比之下，就小气很多

亮了(1)
飘过 2017-10-17回复3楼

这个时期放细节是要搞事情的节奏……

亮了(1)
Voraka (3级)0x6379 2017-10-17回复4楼

666

亮了(0)
q6771020 (1级) 2017-10-17回复5楼

这个漏洞会影响word2007 不带sp的吗？

亮了(0)
Monyer 2017-10-17回复6楼

两个字：升级！

亮了(0)
喵团 (1级) 2017-10-18回复7楼

手动点赞

亮了(0)