一、基本情况

六一节，收到攻击邮件，附件包含一个excel文档，诱使用户打开

下载附件后，打开excel文档，显示为1个空文档，如下所示：

其实，在打开文档的时候，后台已经打开下载连接，

下载地址是：http://www.sanbarts.com/sdyy4y.exe

下载保存为本地%appdata%目录下，名为word.exe：

文件属性如下：

同时，word.exe运行后，会在%temp%目录下生成lvjudcwop.exe，以及其他两个非exe的文档，如下图所示：

进程执行顺序如下：如图所示：

excel.exe->EQNEDT32.EXE->word.exe->lvjudowop.exe

因此，可以大致推断：本次邮件是利用cve-2017-11882(EQNEDT32.EXE公式编辑器漏洞)进行攻击。攻击逻辑：

访问下载http://www.sanbarts.com/sdyy4y.exe，保存为word.exe并运行，word.exe运行后又释放lvjudowop.exe运行。

二、word.exe简要分析

接下来，我们看看word.exe

删除%temp%目录下nsa20c4.tmp文件

到0x841C位置

我们直接静态看：0x841c，也可以看出word.exe真实的EXE长度其实就到这边了，后续带的都是附加的内容。

动态调试，可以看到ReadFile读的数据和上面静态内容一致，如下图。

之后，释放并生成文件：kcblmjjlps、 lvjudcwop.exe、oxq57q9q0cduyzn，之后，调用CreateProcess函数运行lvjudcwop.exe，参数为kcblmjjlps文件，如下图所示：

三、lvjudcwop.exe简要分析

首先打开kcblmjjlps文件

分配一段缓冲区，并进行初始化赋值

再分配一段内存，大小为0x136c（正是kcblmjjlps文件长度），调用fread读取文件内容到缓冲区0xD00000，如下图所示，读取的正是kcblmjjlps实际内容。

对缓冲区0xD00000内容进行解密操作，解密后的内容如下图所示：

调用EnumSystemCodePagesA函数执行解密内容（作为代码执行）

C++复制BOOL EnumSystemCodePagesA([in] CODEPAGE_ENUMPROCA lpCodePageEnumProc,[in] DWORD              dwFlags);

汇编代码如下：

动态获取GetTempPath、GetModuleFileName、LoadLibary、…等函数的内存地址

打开oxq57q9q0cduyzn文件

读取文件内容：

对文件内容进行解密操作，解密后该内容其实是PE可执行文件，如下图所示：

四、小结

CVE-2017-11882漏洞由于稳定、效果好等特点，经久不衰，CVE-2017-11882漏洞变异样本层出不穷。

IOCS：http://www.sanbarts.com/sdyy4y.exe当前解析指向Ip：45.120.185.113

 热文推荐  

• 蓝队应急响应姿势之Linux
  
• 通过DNSLOG回显验证漏洞
  
• 记一次服务器被种挖矿溯源
  
• 内网渗透初探 | 小白简单学习内网渗透
  
• 实战|通过恶意 pdf 执行 xss 漏洞
  
• 免杀技术有一套（免杀方法大集结）(Anti-AntiVirus)
  
• 内网渗透之内网信息查看常用命令
  
• 关于漏洞的基础知识
  
• 任意账号密码重置的6种方法
  
• 干货 | 横向移动与域控权限维持方法总汇
  
• 手把手教你Linux提权