系统漏洞利用 我被攻击了 蜜罐捕获
疑似针对某敏感目标的攻击样本 奖励¥300
微步情报局 2019-09-20 13:30:01 1054人浏览
情报提交人:
julian
情报简介:

1 详细说明(必填)

使用CVE-2017-11882进行攻击,行为捕获启动文档后公式编辑器启动,并且执行了文件。

木马文件使用白利用方式存放,经过多次内存装载执行最终实现具备数据上传、下载以及收集主
机信息、特定文件等典型窃密功能 。 

2 情报来源

邮箱获取

3 样本分析

使用CVE-2017-11882进行攻击,行为捕获启动文档后公式编辑器启动,并且执行了文件。

样本执行后,触发漏洞,通过一段 ROP 链执行 shellcode, shellcode 初始化 JS 脚本执行环境,然后托管执行被释放到临时目录的Package 对象 1.a.。 JS 文件释放微软白利用组合文件,经过多重内存装载执行实现其窃密功能。

  

目标行业:

奖励计划获奖情报所有权归微步在线所有。

微步在线有权对该情报进行使用、编辑、存储、复制、修改、创建衍生作品、交流、发布、公开执行、公开显示。

奖励计划banner
今日推荐