【安全漏洞】黑客利用IE 0 day漏洞部署VBA恶意软件

最新推荐文章于 2023-11-15 15:27:13 发布
最新推荐文章于 2023-11-15 15:27:13 发布
阅读量350 收藏 1
点赞数
分类专栏: 网络 安全 漏洞 文章标签: 网络安全 信息安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/119389160
版权
本文详细分析了一起利用IE 0 day漏洞CVE-2021-26411部署VBA远程访问木马(RAT)的攻击事件。恶意软件通过远程模板下载宏武器化模板,执行shellcode并在受害者机器上执行多种恶意行为,如收集信息、识别反病毒软件、执行shell-code等。攻击者还利用AutoHotKey脚本编写shellcode实现驻留和反追踪。
摘要由CSDN通过智能技术生成

远程模板

研究人员分析settings.xml.rels中嵌入的远程模板发现其中含有完全特征的VBA 远程访问木马,可以执行以下功能:

◼收集受害者信息;

◼识别受害者机器上运行的反病毒软件;

◼执行shell-code;

◼删除文件;

◼上传和下载文件;

◼读取硬盘和文件系统信息。

第二个模板嵌入在Document.xml.rels文件中,会加载在文件中。研究人员分析加载的代码发现其中包含一个IE CVE-2021-26411漏洞利用,该漏洞利用曾被Lazarus APT组织用于攻击安全研究人员。漏洞利用中执行的shellcode也部署了远程模板注入加载的VBA RAT。

加载了远程模板后,恶意文件会加载一个俄语的诱饵文件。

在这里插入图片描述

图 1: 诱饵文件

文档分析

恶意文件(“Манифест.docx”)中含有settings.xml.rels 和document.xml.rels中的2个模板。位于settings.xml.rels的远程模板会下载一个宏武器化的模板,并加载到当前的文件中。远程模板中包含有具备完全RAT功能的宏代码:

在这里插入图片描述

第二个模板嵌入在document.xml.rels中,也会加载在主文档的对象中。该模板中含有CVE-2021-26411的漏洞利用代码。

在这里插入图片描述

图 2: Document.xml.rels

远程模板使用的漏洞利用代码与ENKI安全公司之前报告的类似。

在这里插入图片描述

图 3: 漏洞利用代码

该漏洞利用执行的shell-code会部署settings.xml.rels中嵌入的远程模板加载的VBA RAT。攻击者还会尝试使用两种方法来部署VBA RAT。

最低0.47元/天 解锁文章
IT老涵
关注
专栏目录
VB木马编程全程解析
小雄的博客
06-19 544
     本木马程序可以实现对远程计算机的文件查看、文件提取、指定打开特定窗口、删除文件、控制开机、重启、关机等功能,下面让我来一步步讲解如何实现这些功能 首先运行服务端,并在1001号端口监听,其中winsock控件为数组控件,可以实现多连接操作,若不是数组控件,则只能实现一个连接操作     在Form_Load事件中对端口进行监听    Private Sub Form_...
利用DOCX文档远程模板注入执行宏代码
weixin_44922845的博客
04-03 2646
利用DOCX文档远程模板注入执行宏代码 简介 本地文件中在没有宏代码的情况下,攻击者可以尝试执行远程文件中宏代码。其中来自APT28的最新样本将此技术展现的淋漓尽致。该样本是docx文件,文件内没有任何宏相关信息,但是打开该文件后,却会弹出经典的“宏安全警告”。本实验将实现通过远程加载执行宏代码的攻击方式。 应用场景 该种攻击方式与传统的宏启用文档相比,这种攻击的好处是多方面的。在对目标执行网络...
宏病毒的研究与实例分析05——无宏文件携带宏病毒
鬼手的博客
03-11 1642
文章目录前言远程模板注入执行宏docx文件格式解析窃取NTLM Hashes小结说明 前言 docx文件可能是宏病毒吗? 如果你是一周前问笔者这个问题,笔者一定会斩钉截铁的说:”不可能!” 。笔者在之前的文章中提到过,docx中是不含宏的,所以不可能是宏病毒。但是,现在笔者却会斩钉截铁的说:”即使没有宏也可能是宏病毒!”。 故事要从很久很久以前说起,office文档诞生后不久,就迅速占领各大平台,...
获取电脑硬件信息
dabenlong的专栏
03-25 945
[csharp]    [csharp]  //作者:Ming  [csharp]     [csharp] using System;  using System.Collections;  using System.Management;  namespace HardWareInfos  {      public sealed class HardWareInf
SendInput模拟输入字符与按键
Ds萝卜的博客
04-30 713
1、Form调用 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Runtime.InteropServices; using System.Text; using System.Threading.Tasks; using System.Windows.Fo
逃逸IE浏览器沙箱-在野0Day漏洞利用复现
10-13
标题中的“逃逸IE浏览器沙箱-在野0Day漏洞利用复现”指的是针对Internet Explorer(IE)浏览器的安全研究,特别是关于如何利用未公开(0Day漏洞来突破浏览器的安全沙箱机制。沙箱是一种安全措施,它限制了恶意代码...
0day漏洞利用分析
08-09
此书涉及了大量的底层知识,能让读者更深入的了解计算机,了解漏洞的机制,其中也囊括一些经典的黑客技术
揭秘家用路由器0day漏洞挖掘技术
06-07
《揭秘家用路由器0day漏洞挖掘技术》这本书详细探讨了家用路由器的安全问题,特别是0day漏洞的发现和利用。0day漏洞是指那些尚未被公开或未被制造商修复的安全漏洞,它们对于网络安全构成了重大威胁,因为攻击者可以...
VB摸拟键盘
ehung的专栏
02-03 3199
这年头,在这个论坛里面已经没有什么技术贴了...呵呵~发一篇惊天地,泣鬼神的帖子.当然这个只是模拟键盘的终极模拟.呵呵~      键盘是我们使用计算机的一个很重要的输入设备了,即使在鼠标大行其道的今天,很多程序依然离不开键盘来操作。但是有时候,一些重复性的,很繁琐的键盘操作 总会让人疲惫,于是就有了用程序来代替人们按键的方法,这样可以把很多重复性的键盘操作交给程序来模拟,省了很多精力,按键精灵就
Windows获取系统唯一标识UUID
热门推荐
juesystem的专栏
01-25 1万+
Windows获取系统唯一标识UUID (也叫CSP UUID) 命令行 Bash wmic csproduct get uuid C/C++ 使用CoCreateGuid函数,可以参考官方:https://docs.microsoft.com/en-us/windows/win32/api/combaseapi/nf-combaseapi-cocreateguid C# C# using System.Management; string GetSystemId()...
Nodejs开发常用npm包
lihefei_coder的博客
06-01 1087
Nodejs开发常用npm包
Word文档注入宏实现钓鱼复现
nzyp_的博客
07-13 881
Word文档注入宏实现钓鱼复现 网上很多相关的文章,但都不是很细节,遇到了一些问题,在这里统一汇总一下。 前期准备 环境准备: 一台kali用于使用CS、一台靶机、一台vps服务器(这里使用kali) Word使用系统自带的Word2007 开始复现 首先启用Word的开发工具选项 创建一个doc或者docx文档,起一个混淆的名字。 打开kali,运行cs,创建Lisenter,点击Attacks-Packages-MS Office Macro选择监听者,然后复制 打开doc,点击开发工具里的
模拟鼠标键盘操作,含硬件模拟技术。
04-05 2781
键盘是我们使用计算机的一个很重要的输入设备了,即使在鼠标大行其道的今天,很多程序依然离不开键盘来操作。但是有时候,一些重复性的,很繁琐的键盘操作总会让人疲惫,于是就有了用程序来代替人们按键的方法,这样可以把很多重复性的键盘操作交给程序来模拟,省了很多精力,按键精灵就是这样的一个软件。那么我们怎样才能用VB来写一个程序,达到与按键精灵类似的功能呢?那就让我们来先了解一下windows中响应键盘事件的
vba 在光标插入文字_利用Excel自带的VBA模拟鼠标键盘输入,向某鱼PC端直播间批量发送弹幕...
weixin_39819283的博客
12-11 853
注意:各直播平台的用户协议通常都会禁止脚本发送弹幕,本网文章仅供学习交流,请不要在直播间恶意刷屏前段时间,某鱼取消了不能连续发送相同弹幕的限制2019年5月16日晚,某主播直播间被低级小号机器人刷屏,然后她开启了弹幕抽现金功能,持续10分钟,CD约为1秒钟在连续1分钟左手ctrl+V右手点击发送按钮后,我感觉手有点累,然后想起了自己曾经为某个██开发过一个类似按键精灵的东西稍加改装,测试可用htt...
在mouse_event和keybd_event不推荐使用的时候,用sendinput代替。
最新发布
qq_37425177的博客
11-15 233
本文章就是展示如何使用sendinput(在Excel的VBA中使用),实现EXCEL按键精灵一般的操作,Excel利用sendinput函数实现自动化操作,比如鼠标点击,复制粘贴
WMI技术介绍和应用——查询系统信息和补丁包信息
编程语言小筑
02-06 1132
本文使用了《WMI技术介绍和应用——使用VC编写一个半同步查询WMI服务的类》中代码做为基础。本节只是列出了WQL语句,具体使用参看前面的例子。(转载请指明出于breaksoftware的csdn博客) 本文主要知识点是Win32_OperatingSystem和Win32_QuickFixEngineering类。通过该类我们将可以获取部分系统设置。 如何使用WMI获取系统UUI...
获取计算机的网卡及打印机信息
weixin_30667301的博客
11-25 120
1.获取网卡地址: 1 private string GetMacAddress() 2 { 3 string code = null; 4 SelectQuery query = new SelectQuery("select * from Win32_ComputerSystemProduct");...
实现一个远程宏模板执行恶意代码
信息安全
11-09 677
文章目录原理实现创建宏模板创建加载远程宏文档文件运行总结 原理 word远程宏模板是利用word文档加载附加模板时向远程服务器发起请求而达成攻击的目的,请求并加载远程的恶意宏模板可用来执行恶意行为 文档本身无恶意代码,内容中只有指向远程服务器地址的url,可以绕过安全软件的静态查杀 实现 创建宏模板 在这里生成了两种宏模板,一种是cs生成的后门,一种是测试的弹框宏代码 使用CS,生成宏代码 创建一个docx文件,Alt+F11 启动vb编辑器,将代码粘贴进去,另存为dotm文件 测试弹框的宏代码 创建
0day漏洞分析宝典:全面解读Windows安全防护
《0day+安全:软件漏洞分析技术(第2版)》是一本深入探讨Windows平台缓冲区溢出漏洞分析、检测与防护的专业书籍。全书共分五篇,共计33章,内容涵盖了漏洞exploit的理论基础和初级技术,以及前沿的研究成果。第一篇...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值