首页
论坛
专栏
课程

[原创]CVE-2018-0798漏洞利用样本分析

2019-12-19 14:56 6608

[原创]CVE-2018-0798漏洞利用样本分析

2019-12-19 14:56
6608

记录日常业务,有些杂乱,抱歉。
样本仅为测试学习使用,利用CVE-2018-0798,不与任何组织和个人关联。 



样本信息:


2019-12-18最新

  MD5   0D28743F8CBAE195A81E437720866965
  SHA1   DBA2FA756263549948FAC6935911C3E0D4D1FA1F
  SHA256   C51658ED15A09E9D8759C9FBF24665D6F0101A19A2A147E06D58571D05266D0A
  手法   CVE-2018-0798




文档信息:



样本分析:




执行后将会注册表创建自启动:

run     k.dll   ENGDIC


创建临时文件:


k.Dll

VT仍未上传:



  MD5   3009DB32CA8895A0F15F724BA12A6711
  SHA1   92DE0A807CFB1A332AA0D886A6981E7DEE16D621
  SHA256   E9766B6129D9E1D59B92C4313D704E8CDC1A9B38905021EFCAC334CDD451E617
   时间戳   2019/8/13 14:40:19






首先程序将会在内存中请求空间,然后会在内存中解密加载文件:


然后创建线程开始执行:


在temp路径下创建tmplog文件:


写入:


其中程序带有反调试:将会校验执行时间

通过校验执行时间是否小于1000,如不满足将会循环执行,需要修改跳转指令

联网行为:

创建文件:



并不断写入文件:


然后将会创建进程:调用expand命令


可以看到从网址http://dw.adyboh.com/tel/1214/Iw8xqo下载的文件就是展开的文件;


创建文件:


调用CreateProcess创建进程,执行最终DLL:


  DE4HC9.tmp   Win32 DLL
  MD5   C17F6B254D1C9576EC2498A6376AF86B
  SHA1   080BAF77C96EE71131B8CE4B057C126686C0C696
  SHA256   DD3D401222DBB43DE85C475024184A0B59D22B1D6120EA845547BBDA82B7006B








分配空间:


展开pe


最终将DLL内存中dump下来:



               可以看到还有额外C2:95.179.156.97

最终C2:

IOCs:

95.179.133.232:80    荷兰

95.179.156.97  荷 兰

dw.adyboh.com

dw.adyboh.com/tel/1214/LCN22G

http://dw.adyboh.com/tel/1214/Iw8xqo


95.179.133.232:80    荷兰


关联域名:

dw.adyboh.com  并且在域名下没有关联到样本


各情报中心情况:

奇安信TI:


微步在线:


域名:

dw.adyboh.com/tel/1214/LCN22G


仍然存活

http://dw.adyboh.com/tel/1214/Iw8xqo

将会下载后续载荷:


95.179.156.97  荷 兰


在VT上没有关联信息:


各情报中心同样没有相关信息





2020安全开发者峰会(2020 SDC)议题征集 中国.北京 7月!

最新回复 (5)
MRchaos 2019-12-19 15:14
2
0
厉害
mb_iehitckx 2019-12-19 18:58
3
0
太强了 我哭了
最后于 2019-12-19 18:58 被mb_iehitckx编辑 ,原因:
神奇admin 2019-12-19 20:30
4
0
牛批牛批
mb_iehitckx 2019-12-19 23:10
5
0


最后于 2019-12-19 23:15 被mb_iehitckx编辑 ,原因:
SnowPuppy 2019-12-20 00:51
6
0
膜拜大佬
游客
登录 | 注册 方可回帖
返回