CVE-2017-11882漏洞利用恶意样本分析

最新推荐文章于 2024-05-15 07:16:20 发布
最新推荐文章于 2024-05-15 07:16:20 发布
阅读量269 收藏
点赞数
分类专栏: 恶意样本分析 文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37431937/article/details/125299257
版权

样本信息

文件名称

c11e2306a7926e55f4b2fcbbe7307690059572f1857724bd4aaa7974be6a4b56

文件大小

617.94 KB

文件类型

Win32 EXE

MD5

997cf4517ee348ea771fd05f489c07fe

SHA1

8feb8992f700c7ff9e19f45d0c3fd820d71aa044

CRC32

67DE9003

表1.1样本信息

分析环境及工具

环境:win7x86位

工具:010editor IDA Hash refobj OD

分析目标

分析病毒的恶意行为及相关功能。

样本行为分析

Virustotal扫描34/59比例检测存在恶意行为,确定文档存在恶意行为。本样本分析报告早于2019年,目前查杀率可能与之不一致)

 攻击流程:

恶意文档主要利用package对象内嵌恶意程序。

Rtfobj工具提取package对象自动释放,插入的Package对象实际上是一个恶意Scriptletfile(.sct)脚本文件,以及%tmp%\\mico-audio.exe。

 Scriptletfile(.sct)脚本文件。

 释放的.sct脚本文件利用漏洞运行c盘下 %tmp%\\mico-audio.exe 。释放PE文件Crome.exe,自我拷贝,写入注册表项,执行PE文件。

 执行创建文件crome.exe到C:\Users\用户名\AppData\Roaming\google-Chrome\下,伪装google浏览器目录,执行相应的文件写入。

PE文件运行有远程访问行为。

 

查杀及防范措施

查杀:

①目前多家安全厂商对本恶意行为可通杀,安装杀毒软件即可完成查杀。

②手工查杀

  1. 1删除指定目录C:\Users\用户名\AppData\Roaming\google-chrome\下Crome.exe
  2. 2.启动项禁用world图标的Crome.exe
  3. 3.删除注册表L_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下Chrome键值。

防范措施

①在线更新;开启Windows Update更新。 
②打补丁;的微软补丁地址:Security Update Guide - Microsoft Security Response Center

PwnGuo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具,方便我们进行漏洞利用getshell。
CVE-2017-11882漏洞分析利用
qq_36949907的博客
07-10 1402
(一次大作业,比较啰嗦 见谅) 漏洞介绍 2017年11月14号,微软推送了常规的安全更新,其中就包括CVE-2017-11882的安全更新,当时还引起了不小的关注,之后Github上也公布了许多POC及对应的漏洞利用程序。 仅仅从CVE-2017-11882的漏洞利用效果来看,它可以通杀Office 2003到Office 2016的所有版本,并且整个攻击环境的构建非常简单,效果又非常的好。例如,有些攻击效果会出现弹框、CPU飙高、发生异常等等,而这个漏洞利用效果,堪称“无色无味”,即整个过程几.
【Windows】CVE-2017-11882漏洞利用
古月浪子的博客
02-09 2997
CVE-2017-11882是一个Office的漏洞,虽然该漏洞已经有补丁了,且杀毒软件也能查出利用了该漏洞恶意文档,但是学习和复现该漏洞仍是一项令人受益颇多的过程 为了复现该漏洞,我们需要准备Office2016及以前的版本,这里我选择的是2016版本 利用漏洞的主要手段是,依靠公式编辑器中的缓冲区溢出执行短长度命令行以及Office自动在TEMP目录下临时释放附件的特性,达到执行任意代码的效果 导致漏洞的罪魁祸首就是一个叫EQNEDT32.EXE的程序,该文件的位置可以用任务管理器查看进程文件来定位
CVE-2017-11882及利用样本分析
爱国小白帽
03-25 1662
CVE-2017-11882及利用样本分析 原创 复眼小组 [Gcow安全团队](javascript:void(0)???? 今天 CVE-2017-11882及利用样本分析 1.本文由复眼小组ERFZE师傅原创2.本文略微偏向基础,首先介绍了该漏洞的成因,并且分析了该漏洞在蔓灵花,摩诃草,响尾蛇APT组织用于实际攻击活动中的详细调试过程3.本文全文字数共2234字,图片95张 预计阅读时间14分钟 ...
利用CVE-2017-11882漏洞利用恶意样本分析
zz_strive_2012的专栏
11-30 2341
概述 2017年11月14日,微软修复了一个Office远程代码执行严重漏洞漏洞编号为CVE-2017-11882。该漏洞类型为典型的栈溢出漏洞漏洞代码存在于EQNEDT32.EXE组件中。据称,该组件于2001年编译嵌入Office之后就没有任何修改,迄今已存在17年,这也决定了漏洞会影响当前流行的所有Office版本,漏洞影响之广泛可见一斑。 腾讯安全联合实验室反病毒实验室
CVE-2017-11882复现及防御
hl1293348082的专栏
04-01 1871
本文作者:\xeb\xfe,加上之前的文章《一道 CTF 题 get 到的新姿势》完成两篇文章的任务,邀请加入知识星球,欢迎更多的人加入我们,一起交流、一起学习。 最新 Office 的 CVE-2017-11882,完美无弹窗,无视宏,影响 office 全版本。利用触发器 WebClient 服务从攻击者控制的 WebDav 服务器启动和执行远程文件。该脚本使用多个 OLE 对象创建简单的文档。这些对象利用 CVE-2017-11882,从而导致连续命令执行。 复现过程 实验环境: win.
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
主要介绍了浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
CVE-2017-12149漏洞利用工具,针对该漏洞快速方便的进行利用
CVE-2017-8759-Exploit-sample-master
07-05
CVE-2017-8759-Exploit-sample-master,漏洞示例代码。
CVE-2017-11882
12-09
CVE-2017-11882,用于创建钓鱼word,可以添加命令,用来反弹shell,可以用powershell
CVE-2017-11882漏洞分析
鬼手的博客
08-05 9667
文章目录分析环境漏洞描述漏洞成因漏洞分析获取poc复现漏洞漏洞分析定位漏洞模块定位漏洞函数定位漏洞触发点解决方案 分析环境 **环境:**W7 x64 Office2013 **工具:**windbg IDA Pro 漏洞描述 CVE-2017-11882是微软公布的一个远程执行漏洞,通杀目前市面上的所有office版本及Windows操作系统(包括刚刚停止支持的Office 2007)。该漏...
CVE-2017-11882利用
Jiajiajiang_的博客
06-20 1088
利用kail的msf进行攻击, 首先打开kali,查看 IP,可以看到我的虚拟机kali的 IP是192.168.3.116。把Command43b_CVE-2017-11882.py下载下来放kali的桌面就可以。接下来就要把PS_shell.rb文件下载下来。就把PS_shell.rb和ms17-010.rb放一起吧。 所有用到的资源:链接:https://pan.baidu.com/s/...
CVE-2017-11882 利用
周公子的博客
01-01 2904
这个漏洞出来很久了,据说通杀以下版本的Office:MicrosoftOffice 2000MicrosoftOffice 2003MicrosoftOffice 2007 Service Pack 3MicrosoftOffice 2010 Service Pack 2MicrosoftOffice 2013 Service Pack 1MicrosoftOffice 2016Microsoft
CVE-2017-11882漏洞利用
qq_38111876的博客
09-03 604
转载至:https://www.cnblogs.com/Oran9e/p/7880832.html CVE-2017-11882漏洞利用 CVE-2017-11882漏洞利用 最新Office的CVE-2017-11882的poc刚刚发布出来,让人眼前一亮,完美无弹窗,无视宏,影响Ms offcie全版本,对于企业来说危害很大。在此简单说下这个漏洞的复现和利用过程。 ...
CVE-2017-11882复现
yiyiiyiy的博客
11-24 3197
CVE-2017-11882复现 前言漏洞基本信息 漏洞ID CVE-2017-11882 漏洞名称 Microsoft Office数学公式编辑器内存损坏漏洞 威胁类型 远程代码执行 漏洞类型 栈溢出,位于EQNEDT32.EXE组件中 漏洞影响版本Microsoft Office 2000 Microsoft Office 2003Microsoft Office 2007 Service
windows常用进程管理令
beck_li的博客
05-13 499
1、tasklist命令查看进程 1 1.1 查看本机进程(在一些特殊情况,比如任务管理器被禁用的时候,特别有效) 1 1.2 查看系统进程提供的服务 2 1.3 查看调用DLL模块文件的进程列表 2 1.4 使用筛选器查找指定的进程 3 1.4 使用findstr做筛选 3 1.5查看远程所有进程 3 2、 taskkill命令关闭进程 4 2.1 根据时程PID结束 4 2.2 根据进程图像名结束 4
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
最新发布
NewsMash的博客
05-15 136
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
CVE-2017-5638漏洞利用
10-08
为了防止CVE-2017-5638漏洞利用,推荐以下措施: 1. 及时更新Apache Struts框架到最新版本,以确保已修复漏洞。 2. 验证和过滤所有输入数据,特别是用户提供的输入。确保输入数据不包含恶意代码。 3. 最小化应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值