0x00 样本信息
HW期间拿到的一个样本,用了lnk的启动方式。运行后会启动隐藏属性的exe和dll文件,进行后续的内存解密操作后用域前置的方法执行外联操作。
从https://github.com/corelan/windbglib/raw/master/pykd/pykd.zip下载pykd.zip
解压后获得2个文件:pykd.pyd和vcredist_x86.exe
使用管理员权限运行vcredist_x86.exe并接受默认值。
将pykd.pyd复制到 C:\Program Files\Debugging Tools for Windows (x86)\winext
打开具有管理员权限的命令提示符,然后运行以下命令:
c:
cd "C:\Program Files\Common Files\Microsoft Shared\VC"
regsvr32 msdia90.dll
(You should get a messagebox indicating that the dll was registered successfully)
从https://github.com/corelan/windbglib/raw/master/windbglib.py下载windbglib.py
将文件保存在下面C:\Program Files\Debugging Tools for Windows (x86)
(如果需要,“取消阻止”文件)
从https://github.com/corelan/mona/raw/master/mona.py下载mona.py
将文件保存在下面C:\Program Files\Debugging Tools for Windows (x86)
(如果需要,“取消阻止”文件)
文件名称:mm.exe
MD5:37eec1a29d316ed1e5e766b599dc32a1
SHA-1:75f098d6b3f217aba4c068b12896c332216fc6b3
Authentihash:1b17d4d13c65fed36321aec54f2dc9b214308bbc82821659f83e445b93d1962e
Imphash:9e932de2e1e9ccfc4eacc3a16a8c9ab4
文件类型:Win32 EXE
文件大小:63.08 KB
哈勃扫描结果:https://habo.qq.com/file/showdetail?pk=ADIGYV1qB2IIOls1
劫持系统进程msiexec.exe创建远程线程(将url读入缓冲区修复为一个可以使用的PE文件)
修复改文件夹属性
将自身复制到系统目录下,自删除
设置注册表启动项
2012-0158是一个经典的栈溢出漏洞,成因在于office在解析activeX控件时调用系统的MSCOMCTL.OCX库中存在栈溢出漏洞,导致可被用于执行任意代码。
操作系统:XP SP3 ~ WIN7
office版本:2003 ~ 2010