Luckcat攻击事件样本分析(利用cve-2010-2883)

最新推荐文章于 2024-04-10 19:53:52 发布
最新推荐文章于 2024-04-10 19:53:52 发布
阅读量565 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_LiT0/article/details/81984938
版权

0x00 运行样本分析行为

首先开启process monitor 监控,然后在打开样本文件:
监控到cmd在temp目录下新建了svrhost.exe文件和_uninsep.bat文件。
这里写图片描述
使用process expoler 发现病毒文件篡改了spoolsv.exe文件植入了恶意dll。
这里写图片描述
首先去看下_uninsep.dat文件是什么:
这里写图片描述
发现是一个自删除文件,执行完代码删除tem目录下的恶意文件

0x01 恶意文件反汇编分析

根据路径找到C:\windows\system32\目录下的恶意代码文件:msxml0r.dll文件,
使用peid 查看该文件发现已经被加壳了
这里写图片描述
使用脱壳工具脱壳:
这里写图片描述
成功将壳拖下,这时候再把文件拖到ida分析,
首先定位为到dllmain函数,函数调用了如下图的函数,在其中发现代码调用浏览器下载文件的操作,但是很明显字符串被加密过,需要解密出来。
这里写图片描述
根据ida定位到data是位于0x1000BD00的数据,于是可以把它作为断点进入odb调试:
设置写入断点:
这里写图片描述
成功定位到解密字符串:
这里写图片描述
可以发现是3个url,下载了gif恶意文件。

lit0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2010-2883分析
wangtiankuo的博客
10-10 2481
1 漏洞背景 CVE-2010-2883是Adobe Reader和Acrobat中的CoolType.dll库在解析字体文件SING表中的uniqueName项时存在栈溢出漏洞。 1.1 Heap Spray(堆喷) 使用堆喷的时候,会将EIP指向堆区的0x0C0C0C0C位置,然后用JavaScript申请大量内存,用包含着0x90和shellcode的“内存片”覆盖这些内存。 J...
CVE-2010-2883
CharlesGodX的博客
01-29 488
0x00:前言 记录一次漏洞调试的学习过程,实验环境的一些文件我已上传到GitHub上,欢迎下载,欢迎志同道合的朋友一起交流学习。 0x01:实验环境 Windows XP SP3(虚拟机) Adobe Reader 9.3.4(版本不能高于9.3.4) IDA_Pro_v6.8_and_Hex-Rays_Decompiler_(ARM,x64,x86)_Green(静态分析) PdfStrea...
一个利用 CVE-2010-2883 漏洞的样本的简要分析
weixin_30596165的博客
09-14 151
拿到一个 CVE-2010-2883样本: file md5: 68F74C7272BF25B3592F9E46997779E2 file size: 763,188 bytes 这是一个 PDF 文件,其中包含很多的 stream,前面的 FlateDecode 编码的 stream 基本上都是一样的。 最后一个是有害的 ttf 文件,下图是解码前的 stream 结构:...
jdk-11_windows-x64.7z
03-01
《JDK 11在Windows 10上的安装与使用详解》 JDK(Java Development Kit)是开发和运行Java应用程序的重要工具包,是Java程序员的必备环境。...确保正确安装和配置JDK 11,是充分利用这些特性的前提。
iText-中文使用文档.zip
07-17
例如,可以利用`PdfWriter`的事件接口来添加页眉、页脚或水印。 4. **表单处理**:iText能处理交互式PDF表单,创建、填充和导出AcroForm数据。`AcroFields`类提供了与表单域交互的方法,如获取/设置字段值、设置...
iText_jar.zip
07-17
7. **事件处理**:利用iText的事件驱动模型,开发者可以在特定操作(如页面添加、文档结束等)时执行自定义代码。 8. **PDF/A兼容性**:iText可以帮助你创建符合PDF/A标准的文档,这是一种长期保存和可访问性的PDF...
aspose_pdf.zip
07-17
Aspose.PDF是一款强大的PDF处理库,主要用于在Java应用程序中创建、编辑和转换PDF文档。这个库提供了丰富的API,使得开发者能够对PDF进行各种复杂的操作,例如生成、合并、分割、提取文本、添加图片、设置安全性等。...
Eclipse_64位下载.7z
03-01
7. **集成调试器**:Eclipse的调试器是其一大亮点,提供了直观的断点设置、变量查看、线程分析等功能,使得调试代码变得简单高效。 8. **布局与工作空间**:Eclipse的工作区(Workspace)概念允许用户组织多个项目...
CVE-2010-2883字体文件SING表栈溢出
07-03
CVE-2010-2883字体文件SING表栈溢出,CVE-2010-2883字体文件SING表栈溢出
Adobe Reader 缓冲区溢出漏洞 (CVE-2010-2883)漏洞分析报告
君子谬
11-28 2114
一. 简介   软件名称:Adobe Reader 影响范围:7.0.0-9.3.4版本 影响平台:Windows 漏洞模块:CoolType.dll 威胁等级:高危 漏洞类型:缓冲区溢出 威胁路径:远程 机密性影响:完全的信息泄露导致所有系统文件暴露 完整性影响:系统完整性可被完全破坏 可用性影响:可能导致系统完全宕机 攻击复杂度:漏洞利用存在一定的访问条件 攻击向量:
漏洞复现-CVE-2010-2883
滕财然的博客
02-26 1475
CVE-2010-2883 Adobe Reader复现 1、漏洞原理 Adobe Reader 8.24-9.3.4的CoolType.dll库在解析字体文件SING表格中的uniqueName项时存在栈溢出漏洞,用户打开了特制的PDF文件可能导致执行恶意代码,可实现比如进行远程控制等。 2、漏洞分析 反汇编工具IDA: IDA 是全球最智能、功能最完善的交互式反汇编程序,许多软件安全专家和黑客...
CVE-2010-2883】进行钓鱼攻击的研究
最新发布
Mr_Fmnwon的博客
04-10 228
最近作业中研究APT攻击,了解到2011年前后披露的LURID-APT,其中敌手利用了各种版本的文件查看器的漏洞实现攻击CVE-2010-2883就是其中被利用的一个adobe reader的漏洞。Adobe Reader 8.24-9.3.4的CoolType.dll库在解析字体文件SING表格中的uniqueName项时存在栈溢出漏洞,用户打开了特制的PDF文件可能导致执行恶意代码,可实现比如进行远程控制等。输入exploit进行攻击利用,此时在某目录下生成用于攻击的携带木马的pdf文件。
CVE-2010-2883 从漏洞分析样本分析
qq_28205153的博客
08-19 4929
本文章将从漏洞利用分析开始,到样本分析结束,其中涉及到的知识点有PDF格式、TTF字体格式、缓冲区溢出漏洞利用、PE文件格式、软件脱壳和恶意代码分析。其中会演示一些基本操作,方便初学者进行复现。 前置知识 要学习本文章,需要下面的前置知识 C语言。可以看《C程序设计语言》。 汇编语言。可以看《深入理解计算机系统》第三章。 缓冲区溢出漏洞利用。可以看《0day安全:软件漏洞分析技术》。 软件脱壳、PE文件格式。可以看《加密与解密》。 恶意代码分析(可选)。可以看《恶意代码分析实战》。 漏洞信息 漏洞名称:
CVE-2010-2883 PDF漏洞提权
EC_Carrot的博客
03-08 257
漏洞背景 CVE-2010-2883是Adobe Reader和Acrobat中的CoolType.dll库在解析字体文件SING表中的uniqueName项时存在的栈溢出漏洞,当用户打开特制的恶意PDF文件时,可允许任意代码远程执行。 这个漏洞也比较老了,相信很多机子都不装Adobe Reader低版本了,但对于萌新来说,还是先从旧漏洞开始复现会比较合适 影响版本 Adobe Reader 8.2.4 - 9.3.4 漏洞利用 Metasploit工具已经将相关的漏洞利用代码集成进来了,通过简单的步骤
CVE-2010-2883 Adobe Reader TTF字体SING表栈溢出漏洞分析
xiaoeryu_的博客
03-18 907
CVE-2010-2883 Adobe Reader TTF字体SING表栈溢出漏洞0x1:漏洞描述0x2:分析环境0x3:基于字符串定位的漏洞分析方法0x4:样本Exploit技术分析0x05:动态调试 0x1:漏洞描述 ​ CVE-2010-2883是Adobe Reader和Acrobat中的CoolType.dll库在解析字体文件SING表中的uniqueName项时存在的栈溢出漏洞,用户受骗打开了特制的PDF文件就有可能导致执行任意代码。 0x2:分析环境 推荐使用的环境 备注
CVE-2010-2883:基于样本分析 PDF SING表字符溢出漏洞
CuiXY's Blog
02-01 285
0x01
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值