【安全漏洞】黑客利用IE 0 day漏洞部署VBA恶意软件

最新推荐文章于 2022-04-30 17:45:00 发布
最新推荐文章于 2022-04-30 17:45:00 发布
阅读量329 收藏 1
点赞数
分类专栏: 网络 安全 漏洞 文章标签: 网络安全 信息安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/119389160
版权
远程模板研究人员分析settings.xml.rels中嵌入的远程模板发现其中含有完全特征的VBA 远程访问木马,可以执行以下功能:◼收集受害者信息;◼识别受害者机器上运行的反病毒软件;◼执行shell-code;◼删除文件;◼上传和下载文件;◼读取硬盘和文件系统信息。第二个模板嵌入在Document.xml.rels文件中,会加载在文件中。研究人员分析加载的代码发现其中包含一个IE CVE-2021-26411漏洞利用,该漏洞利用曾被Lazarus APT组织用于攻击安全研究人员。漏洞利用
摘要由CSDN通过智能技术生成

远程模板

研究人员分析settings.xml.rels中嵌入的远程模板发现其中含有完全特征的VBA 远程访问木马,可以执行以下功能:

◼收集受害者信息;

◼识别受害者机器上运行的反病毒软件;

◼执行shell-code;

◼删除文件;

◼上传和下载文件;

◼读取硬盘和文件系统信息。

第二个模板嵌入在Document.xml.rels文件中,会加载在文件中。研究人员分析加载的代码发现其中包含一个IE CVE-2021-26411漏洞利用,该漏洞利用曾被Lazarus APT组织用于攻击安全研究人员。漏洞利用中执行的shellcode也部署了远程模板注入加载的VBA RAT。

加载了远程模板后,恶意文件会加载一个俄语的诱饵文件。

在这里插入图片描述

图 1: 诱饵文件

文档分析

恶意文件(“Манифест.docx”)中含有settings.xml.rels 和document.xml.rels中的2个模板。位于settings.xml.rels的远程模板会下载一个宏武器化的模板,并加载到当前的文件中。远程模板中包含有具备完全RAT功能的宏代码:

在这里插入图片描述

第二个模板嵌入在document.xml.rels中,也会加载在主文档的对象中。该模板中含有CVE-2021-26411的漏洞利用代码。

在这里插入图片描述

图 2: Document.xml.rels

远程模板使用的漏洞利用代码与ENKI安全公司之前报告的类似。

在这里插入图片描述

图 3: 漏洞利用代码

该漏洞利用执行的shell-code会部署settings.xml.rels中嵌入的远程模板加载的VBA RAT。攻击者还会尝试使用两种方法来部署VBA RAT。</

最低0.47元/天 解锁文章
IT老涵
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WMI使用的WIN32_类库名
星星的专栏
06-18 1万+
包括:硬件类、操作系统类、安装应用程序类、WMI服务管理类、性能计数器类1、硬件类冷却类别Win32_Fan--风扇Win32_HeatPipe--热管Win32_Refrigeration--致冷Win32_TemperatureProbe--温度传感输入设备类别Win32_Keyboard--键盘 Win32_PointingDevice--指示设备(如鼠标
宏病毒的研究与实例分析05——无宏文件携带宏病毒
鬼手的博客
03-11 1587
文章目录前言远程模板注入执行宏docx文件格式解析窃取NTLM Hashes小结说明 前言 docx文件可能是宏病毒吗? 如果你是一周前问笔者这个问题,笔者一定会斩钉截铁的说:”不可能!” 。笔者在之前的文章中提到过,docx中是不含宏的,所以不可能是宏病毒。但是,现在笔者却会斩钉截铁的说:”即使没有宏也可能是宏病毒!”。 故事要从很久很久以前说起,office文档诞生后不久,就迅速占领各大平台,...
Word模板注入攻击
dda6607的博客
05-16 980
Word模板注入攻击 0x00 工具准备 phishery:https://github.com/ryhanson/phishery/releases office版本:office 2010 0x01 什么是Word模板注入攻击 Word模板注入攻击就是利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以...
利用DOCX文档远程模板注入执行宏代码
weixin_44922845的博客
04-03 2557
利用DOCX文档远程模板注入执行宏代码 简介 本地文件中在没有宏代码的情况下,攻击者可以尝试执行远程文件中宏代码。其中来自APT28的最新样本将此技术展现的淋漓尽致。该样本是docx文件,文件内没有任何宏相关信息,但是打开该文件后,却会弹出经典的“宏安全警告”。本实验将实现通过远程加载执行宏代码的攻击方式。 应用场景 该种攻击方式与传统的宏启用文档相比,这种攻击的好处是多方面的。在对目标执行网络...
获取电脑硬件信息
dabenlong的专栏
03-25 932
[csharp]    [csharp]  //作者:Ming  [csharp]     [csharp] using System;  using System.Collections;  using System.Management;  namespace HardWareInfos  {      public sealed class HardWareInf
逃逸IE浏览器沙箱-在野0Day漏洞利用复现
最新发布
10-13
标题中的“逃逸IE浏览器沙箱-在野0Day漏洞利用复现”指的是针对Internet Explorer(IE)浏览器的安全研究,特别是关于如何利用未公开(0Day漏洞来突破浏览器的安全沙箱机制。沙箱是一种安全措施,它限制了恶意代码...
SendInput模拟输入字符与按键
Ds萝卜的博客
04-30 667
1、Form调用 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Runtime.InteropServices; using System.Text; using System.Threading.Tasks; using System.Windows.Fo
vba循环通过键盘某个按键按下退出循环_Win32编程基础之键盘输入
weixin_39859988的博客
11-24 1035
图片来源:游戏《ATRI》应用应该能够接收来自用户的键盘输入。键盘输入以投递的方式让应用进行接收。键盘的输入模式通过为当前键盘安装合适的键盘设备驱动,系统提供了设备独立的键盘支持。通过使用语言特定的键盘布局,系统提供了语言独立的键盘布局(keyboard layout)支持,这个可以由用户或应用设置。键盘设备驱动从键盘接收扫描码,它被发送到键盘布局,在那里它被翻译为消息并投递到应用合适的窗口中。分...
WMI使用小工具——WMI代码生成器
热门推荐
周公(周金桥)的专栏
06-16 1万+
说明:WMI Code Creator是微软提供的一个WMI代码生成工具,这个工具是微软在2005年5月提供的,微软对这个软件提供的说明如下:This code is not supported under any Microsoft standard support program or service.This code is provided AS IS without warrant
在VB中使用SendInput函数实现中文的自动输入
05-18
此代码百度搜索整理得来,如有错误,望指正
Windows自带的WSQL查询器可以查询系统中的USB/HID等设备
Mad_Geek
04-24 1793
WQL: SELECT * FROM Win32_PnPEntity WHERE PNPDeviceID LIKE 'USB%' 1. 开始-运行-输入:wbemtest 回车 2. 单击"连接", 输入:root\cimv2 回车; 或者ROOT\SecurityCenter 3. 单击"查询", 输入: SELECT * FROM Win32_Process 应用; 或者SELECT *...
Windows获取系统唯一标识UUID
juesystem的专栏
01-25 1万+
Windows获取系统唯一标识UUID (也叫CSP UUID) 命令行 Bash wmic csproduct get uuid C/C++ 使用CoCreateGuid函数,可以参考官方:https://docs.microsoft.com/en-us/windows/win32/api/combaseapi/nf-combaseapi-cocreateguid C# C# using System.Management; string GetSystemId()...
VB摸拟键盘
ehung的专栏
02-03 2983
这年头,在这个论坛里面已经没有什么技术贴了...呵呵~发一篇惊天地,泣鬼神的帖子.当然这个只是模拟键盘的终极模拟.呵呵~      键盘是我们使用计算机的一个很重要的输入设备了,即使在鼠标大行其道的今天,很多程序依然离不开键盘来操作。但是有时候,一些重复性的,很繁琐的键盘操作 总会让人疲惫,于是就有了用程序来代替人们按键的方法,这样可以把很多重复性的键盘操作交给程序来模拟,省了很多精力,按键精灵就
Nodejs开发常用npm包
lihefei_coder的博客
06-01 1070
Nodejs开发常用npm包
Word文档注入宏实现钓鱼复现
nzyp_的博客
07-13 832
Word文档注入宏实现钓鱼复现 网上很多相关的文章,但都不是很细节,遇到了一些问题,在这里统一汇总一下。 前期准备 环境准备: 一台kali用于使用CS、一台靶机、一台vps服务器(这里使用kali) Word使用系统自带的Word2007 开始复现 首先启用Word的开发工具选项 创建一个doc或者docx文档,起一个混淆的名字。 打开kali,运行cs,创建Lisenter,点击Attacks-Packages-MS Office Macro选择监听者,然后复制 打开doc,点击开发工具里的
vba 在光标插入文字_利用Excel自带的VBA模拟鼠标键盘输入,向某鱼PC端直播间批量发送弹幕...
weixin_39819283的博客
12-11 814
注意:各直播平台的用户协议通常都会禁止脚本发送弹幕,本网文章仅供学习交流,请不要在直播间恶意刷屏前段时间,某鱼取消了不能连续发送相同弹幕的限制2019年5月16日晚,某主播直播间被低级小号机器人刷屏,然后她开启了弹幕抽现金功能,持续10分钟,CD约为1秒钟在连续1分钟左手ctrl+V右手点击发送按钮后,我感觉手有点累,然后想起了自己曾经为某个██开发过一个类似按键精灵的东西稍加改装,测试可用htt...
获取计算机的网卡及打印机信息
weixin_30667301的博客
11-25 112
1.获取网卡地址: 1 private string GetMacAddress() 2 { 3 string code = null; 4 SelectQuery query = new SelectQuery("select * from Win32_ComputerSystemProduct");...
实现一个远程宏模板执行恶意代码
信息安全
11-09 555
文章目录原理实现创建宏模板创建加载远程宏文档文件运行总结 原理 word远程宏模板是利用word文档加载附加模板时向远程服务器发起请求而达成攻击的目的,请求并加载远程的恶意宏模板可用来执行恶意行为 文档本身无恶意代码,内容中只有指向远程服务器地址的url,可以绕过安全软件的静态查杀 实现 创建宏模板 在这里生成了两种宏模板,一种是cs生成的后门,一种是测试的弹框宏代码 使用CS,生成宏代码 创建一个docx文件,Alt+F11 启动vb编辑器,将代码粘贴进去,另存为dotm文件 测试弹框的宏代码 创建
软件漏洞分析入门
06-27
在看雪论坛出的0day安全前几章的介绍下,我们可以清晰地了解到此领域的重要性和深度。引子中的一句话"要成为一个改变“不可能”为“可能”的标点符号",不仅令人深思,更是对软件漏洞分析带来的无限可能性的一种憧憬...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值