qq最新漏洞

qq最新漏洞
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
腾讯反病毒实验室预警：CVE-2017-11882漏洞最新利用方法 腾讯电脑管家认证厂商2017-11-23共312969人围观 ，发现 10 个不明物体 漏洞
概述
此前，腾讯反病毒实验室第一时间跟进了CVE-2017-11882漏洞，并率先发布了预警和样本分析；刚刚，腾讯反病毒实验室再次发现了针对该漏洞利用的最新利用方法，可以将可执行程序直接嵌入到钓鱼文档中，运行文档时会直接运行嵌入到文档中的恶意exe文件。

这种最新利用方法与之前的利用方式最大的不同在于：以往的利用都是通过恶意文档加载mstha或者powershell或者cmd等程序从网络加载恶意程序，而此次发现的利用方式则会直接运行恶意程序。也就是说在用户断网的情况下，以往通过网络下发恶意脚本的攻击方式会失效，而最新利用方法则不需要连网操作，断网情况下仍然可以达成有效攻击，这种攻击情景对于传播勒索软件十分有效。

在这种最新利用方法下，用户运行恶意文档时，嵌入到文档中的恶意程序会自动加载。整个过程中无需用户干预，在攻击效果上堪比CVE-2012-0158漏洞，该漏洞很有可能会成为各大APT组织的必备漏洞利用库之一，应引起足够重视。

分析
针对该种利用方法的恶意文档，主要有两个部分组成：一是package对象，用来将恶意程序释放到临时目录下的指定文件名。二是公式组件，用来触发漏洞，加载临时目录下的指定文件名的文件执行。

我们以其中一个样本为例进行分析。在该Rtf文件中，包含有2个objdata对象

CVE-2017-11882漏洞最新利用方法

将两个对象保存出来后，发现其中一个为Package对象，其内部嵌入了一个PE文件。

CVE-2017-11882漏洞最新利用方法

通过对Package对象结构分析可以发现，Package对象的主要的几个数据结构如下

Label jjjjjjjjjjjjjjjjjjj.j
OrgPath Z:\home\localhost\www\doc\jjjjjjjjjjjjjjjjjjj.j
DataPath C:\Users\my\AppData\Local\Temp\jjjjjjjjjjjjjjjjjjj.j
这些字段表明在该文档被打开时，会将该package对象的数据部分释放到临时目录下的jjjjjjjjjjjjjjjjjjj.j文件中。

而另一个objdata用来触发漏洞。漏洞触发成功后，会直接加载临时目录下的jjjjjjjjjjjjjjjjjjj.j执行。

CVE-2017-11882漏洞最新利用方法

恶意样本通过将package对象与CVE-2017-11882漏洞结合起来，package对象负责将恶意程序释放到指定名称目录下，CVE-2017-11882漏洞负责加载恶意程序执行，两者相互配合达成攻击目的。

总结
在腾讯反病毒实验室捕获的最新的利用样本中，winword进程加载的程序只是putty.exe和hijack.exe，这表明黑客正在对这种利用方式进行测试，但从样本利用效果上看，这种攻击方式十分有效，腾讯反病毒实验室预测该方法此后将会被越来越多的黑客用来传播勒索软件，请广大用户及时升级补丁，安装腾讯电脑管家等安全软件进行防护。目前腾讯哈勃分析系统（https://habo.qq.com/）已经可以识别此类攻击手法，对于可疑文档文件，也可通过腾讯哈勃分析系统进行扫描判别。

*本文作者：腾讯电脑管家；转载请注明来自 FreeBuf.COM

腾讯电脑管家
腾讯电脑管家
142 篇文章
等级： 8级
||
上一篇：打开文档变肉鸡：潜伏17年的“噩梦公式”Office漏洞攻击分析下一篇：苹果发布安全更新！现已修复macOS中的USB代码执行漏洞
这些评论亮了

呵呵，腾讯 回复
明明是我360先，何来率先？
)22(亮了
发表评论已有 10 条评论

y11en 2017-11-23回复 1楼
很强，利用OLE的对象释放功能

亮了(3)

test 2017-11-23回复 2楼
哦 自己构造的吧

亮了(0)

呵呵，腾讯 2017-11-23回复 3楼
明明是我360先，何来率先？

亮了(22)

softbug 认证作者专栏作者(7级) i am here! 2017-11-24回复 4楼
这就是最新利用方法？？？逗逼

亮了(4)

lr3800_ (4级) 安全猎人 lr3800.com 2017-11-24回复 5楼
package对象的数据部分释放到临时目录是怎么实现的 能不能细说一下

亮了(0)

brucelee 2017-11-24回复
@ lr3800_ 直接将指定的payload当作package对象插入就ok了，好像 xp上无效，win7以上才有效。

亮了(0)

biock (3级) 2017-11-24回复 6楼
这是我看到的最新利用方法没有之一，压根没有看懂。

亮了(2)

cgf99 (4级) 2017-11-24回复 7楼
package 对象插入的时候，文档里有个图标，该样本有隐藏该图标吗？

亮了(0)

大屌 2017-11-24回复 8楼
电脑管家，呵呵呵，先解决全家桶再说。

亮了(2)

降草 (2级) 2018-01-22回复 9楼
@ 呵呵，腾讯 呵呵，看清楚了没？以前报的是mshta 加载的方式，人家现在报的是package直接释放的方式.看清再逼逼

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
腾讯电脑管家
腾讯电脑管家认证厂商

腾讯电脑管家官方账号

142
文章数
1
评论数
最近文章
KoiMiner挖矿木马变种入侵，超5000台SQL Server服务器被控制
2018.11.18

暗网非法数据交易是隐私信息安全的重大威胁
2018.11.15

流氓软件Playbox安装目录一式两份 刻意欺负非一线城市网民
2018.11.14

浏览更多
相关阅读
CVE-2017-11882新动态：利用AutoIT脚本释放DarkComet后门腾讯反病毒实验室预警：CVE-2017-11882漏洞最新利用方法WinRAR 0day漏洞（附利用过程）隐藏17年的Office远程代码执行漏洞POC样本分析（CVE-2017-11882）疑似“海莲花”组织早期针对国内高校的攻击活动分析
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank