首页
论坛
课程
招聘
[原创]样本分析记录(一个CVE-2017-0261样本分析(EPS漏洞))
2021-1-25 17:02 2108

[原创]样本分析记录(一个CVE-2017-0261样本分析(EPS漏洞))

2021-1-25 17:02
2108
样本信息:
 

MD5:7fb7944fb452d8588194ea746910ed782865efb991fa02479e429f8fba677d3b
是一个docx后缀的文件,后缀改为zip后解压缩,得到一堆xml文件 查询资料得知这是一个eps漏洞的样本 所以关键的文件藏在“*\word\media”目录下,是一个eps后缀的文件
图片描述
下载一个工具https://github.com/kcufId/eps-CVE-2017-0261
长这样
图片描述
done文件夹下有一个“eps.poc”文件,将其替换成上面找到的“image1.eps”,并将“image1.eps”名字改成eps.poc
图片描述
将LoadEps.exe放入od进行动态调试
两种方法进入shellcode:
1、直接给virtualalloc下断点
2、一步步的跟到closefile找到shellcode入口点

1、直接给virtualalloc下断

图片描述

 

2、一步步的跟到closefile找到shellcode入口点
先找到ImportGr:f7步入之后发现进入模块EPSIMP32.dll,然后直接打开ida,计算偏移,对closefile下断:
图片描述
图片描述
地址计算:920197-8f1000+74511000=74540197 (2F197)
然后进入shellcode
图片描述
据说就是这里(eax)
图片描述


 

到达shellcode内部,通过函数hash查找LoadLibrary、GetProcAddress、createfile、writefile等函数
图片描述
图片描述
加载模块
图片描述
创建了一个文件tmp后进行删除操作:
图片描述
图片描述
获取进程信息 查找WINWORD.EXE,找进程winword.exe返回进程句柄

 

在开始文件夹目录下创建一个文件MSBuild.exe
图片描述
不知道为什么创建失败了。。。手动修改eax返回值:
图片描述
接下来是解密函数,密钥:0x16082019
图片描述
后面writefile又失败了,将解密后的文件dump出来,发现是个exe程序,和启动目录下的MSBuild进行对比,发现是同一个文件:
图片描述
图片描述
最终的后门应该就是这个MSBuild了,下面是对这个后门的简单分析:
用一个循环增加调试时间
图片描述
创建互斥体用于防多开
图片描述
然后会加载各种函数
图片描述
他创建文件9PT568.dat,写入数据,并将值赋给uuid
图片描述
图片描述
图片描述
获取一些数据:

1
2
3
4
5
6
#uuid  
#un     用户名
#cn     计算机名
#lan    主机IP
#nop    后门版本信息(ver=1.0)
#on     系统版本信息

然后直接解密出来了远控IP
图片描述
这个时候用wireshark抓包试试:
图片描述
发现了一些数据 使用aes加密了的,接下来进入线程回调:
图片描述
会对收集到的数据进行aes+base64加密,然后在固定的位置插入特殊字符,并在字符串末尾拼接上“&crc=e3a6”
图片描述
url1://e3e7e71a0b28b5e96cc492e636722f73//4sVKAOvu3D// BDyot0NxyG.php
命令:

1
2
3
4
5
8     退出
13    创建文件AdbFle.tmp  获取加密后uuid等的前128个字节的数据并存入文件中,再次加密后上传
4     创建文件edg499.dat 存储uuid这些发送的数据 aes+blowfish加密后再次发送
33    下载文件并执行
23    获取桌面句柄和窗口设备环境,感觉类似截屏一样,然后生成本地图片到TPX499.dat,将文件中的数据加密后发送到上线地址,上传完毕就删除该文件

TPX499.dat中使用到的加密算法是aes和blowfish:
图片描述

 

附件密码:bbs.pediy.com


看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币~

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回