【安全漏洞】黑客利用IE 0 day漏洞部署VBA恶意软件

最新推荐文章于 2024-03-28 00:00:00 发布
原创 最新推荐文章于 2024-03-28 00:00:00 发布 · 443 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #信息安全 #安全漏洞

本文详细分析了一起利用IE 0 day漏洞CVE-2021-26411部署VBA远程访问木马(RAT)的攻击事件。恶意软件通过远程模板下载宏武器化模板,执行shellcode并在受害者机器上执行多种恶意行为,如收集信息、识别反病毒软件、执行shell-code等。攻击者还利用AutoHotKey脚本编写shellcode实现驻留和反追踪。

远程模板

研究人员分析settings.xml.rels中嵌入的远程模板发现其中含有完全特征的VBA 远程访问木马,可以执行以下功能:

◼收集受害者信息;

◼识别受害者机器上运行的反病毒软件;

◼执行shell-code;

◼删除文件;

◼上传和下载文件;

◼读取硬盘和文件系统信息。

第二个模板嵌入在Document.xml.rels文件中,会加载在文件中。研究人员分析加载的代码发现其中包含一个IE CVE-2021-26411漏洞利用,该漏洞利用曾被Lazarus APT组织用于攻击安全研究人员。漏洞利用中执行的shellcode也部署了远程模板注入加载的VBA RAT。

加载了远程模板后,恶意文件会加载一个俄语的诱饵文件。

在这里插入图片描述

图 1: 诱饵文件

文档分析

恶意文件(“Манифест.docx”)中含有settings.xml.rels 和document.xml.rels中的2个模板。位于settings.xml.rels的远程模板会下载一个宏武器化的模板,并加载到当前的文件中。远程模板中包含有具备完全RAT功能的宏代码:

在这里插入图片描述

第二个模板嵌入在document.xml.rels中,也会加载在主文档的对象中。该模板中含有CVE-2021-26411的漏洞利用代码。

在这里插入图片描述

图 2: Document.xml.rels

远程模板使用的漏洞利用代码与ENKI安全公司之前报告的类似。

在这里插入图片描述

图 3: 漏洞利用代码

该漏洞利用执行的shell-code会部署settings.xml.rels中嵌入的远程模板加载的VBA RAT。攻击者还会尝试使用两种方法来部署VBA RAT

最低0.47元/天 解锁文章
SendInput模拟输入字符与按键
Ds萝卜的博客
04-30 976
1、Form调用 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Runtime.InteropServices; using System.Text; using System.Threading.Tasks; using System.Windows.Fo
朝鲜黑客扔出了【榴莲】,全新Golang恶意软件横行;紧急!Chrome新0day漏洞已遭黑客利用;恶意Python包伪装成Requests库分支 | 安全周报0517
最新发布
weixin_55163056的博客
05-17 1324
朝鲜黑客部署了一种新型Golang恶意软件“榴莲”,针对两家韩国加密货币公司进行网络攻击。谷歌在Android 15中推出新功能,保护用户免受诈骗和恶意应用的侵害,第三方开发者可利用Play Integrity API保护应用。Cacti框架存在严重安全漏洞,可能让攻击者执行恶意代码,维护者已解决十几个漏洞。谷歌发布紧急修复程序,解决Chrome浏览器中的新零日漏洞CVE-2024-4761,该漏洞已在野外被积极利用网络安全研究人员发现恶意Python包
VB木马编程全程解析
小雄的博客
06-19 640
     本木马程序可以实现对远程计算机的文件查看、文件提取、指定打开特定窗口、删除文件、控制开机、重启、关机等功能,下面让我来一步步讲解如何实现这些功能 首先运行服务端,并在1001号端口监听,其中winsock控件为数组控件,可以实现多连接操作,若不是数组控件,则只能实现一个连接操作     在Form_Load事件中对端口进行监听    Private Sub Form_...
利用DOCX文档远程模板注入执行宏代码
weixin_44922845的博客
04-03 3143
利用DOCX文档远程模板注入执行宏代码 简介 本地文件中在没有宏代码的情况下,攻击者可以尝试执行远程文件中宏代码。其中来自APT28的最新样本将此技术展现的淋漓尽致。该样本是docx文件,文件内没有任何宏相关信息,但是打开该文件后,却会弹出经典的“宏安全警告”。本实验将实现通过远程加载执行宏代码的攻击方式。 应用场景 该种攻击方式与传统的宏启用文档相比,这种攻击的好处是多方面的。在对目标执行网络...
宏病毒的研究与实例分析05——无宏文件携带宏病毒
鬼手的博客
03-11 1989
文章目录前言远程模板注入执行宏docx文件格式解析窃取NTLM Hashes小结说明 前言 docx文件可能是宏病毒吗? 如果你是一周前问笔者这个问题,笔者一定会斩钉截铁的说:”不可能!” 。笔者在之前的文章中提到过,docx中是不含宏的,所以不可能是宏病毒。但是,现在笔者却会斩钉截铁的说:”即使没有宏也可能是宏病毒!”。 故事要从很久很久以前说起,office文档诞生后不久,就迅速占领各大平台,...
获取电脑硬件信息
dabenlong的专栏
03-25 1010
[csharp]    [csharp]  //作者:Ming  [csharp]     [csharp] using System;  using System.Collections;  using System.Management;  namespace HardWareInfos  {      public sealed class HardWareInf
逃逸IE浏览器沙箱-在野0Day漏洞利用复现
10-13
标题中的“逃逸IE浏览器沙箱-在野0Day漏洞利用复现”指的是针对Internet Explorer(IE)浏览器的安全研究,特别是关于如何利用未公开(0Day漏洞来突破浏览器的安全沙箱机制。沙箱是一种安全措施,它限制了恶意代码...
苹果0day漏洞紧急修复;美国大力打击间谍软件公司;黑客利用Docker Redis漏洞进行挖矿| 安全周报 0308
weixin_55163056的博客
03-08 1378
苹果0day漏洞紧急修复;美国大力打击间谍软件公司;黑客利用Docker Redis漏洞进行挖矿
0day漏洞利用分析
08-09
此书涉及了大量的底层知识,能让读者更深入的了解计算机,了解漏洞的机制,其中也囊括一些经典的黑客技术
ChatGPT插件安全漏洞黑客利用
网络研究观
03-28 4247
对 ChatGPT 插件实施负责任的开发以维护用户安全和数据完整性标准至关重要。
VB摸拟键盘
ehung的专栏
02-03 3534
这年头,在这个论坛里面已经没有什么技术贴了...呵呵~发一篇惊天地,泣鬼神的帖子.当然这个只是模拟键盘的终极模拟.呵呵~      键盘是我们使用计算机的一个很重要的输入设备了,即使在鼠标大行其道的今天,很多程序依然离不开键盘来操作。但是有时候,一些重复性的,很繁琐的键盘操作 总会让人疲惫,于是就有了用程序来代替人们按键的方法,这样可以把很多重复性的键盘操作交给程序来模拟,省了很多精力,按键精灵就
Windows获取系统唯一标识UUID
热门推荐
juesystem的专栏
01-25 1万+
Windows获取系统唯一标识UUID (也叫CSP UUID) 命令行 Bash wmic csproduct get uuid C/C++ 使用CoCreateGuid函数,可以参考官方:https://docs.microsoft.com/en-us/windows/win32/api/combaseapi/nf-combaseapi-cocreateguid C# C# using System.Management; string GetSystemId()...
Nodejs开发常用npm包
lihefei_coder的博客
06-01 1222
Nodejs开发常用npm包
鼠标键盘模拟 【转】
Alsmile的专栏
06-07 5288
(1)SendMessage or PostMessage 指定hwnd后可以后台发送,这是相比后面2种方式的优势之一。 例如: 以当前程序的某个输入框为例: HWND tw2 = GetDlgItem(IDC_EDIT1)->m_hWnd; ::SendMessage(tw2,WM_CHAR,s[i],0); 单击按钮: HWND tw3 = GetDlgItem(IDOK)->
在mouse_event和keybd_event不推荐使用的时候,用sendinput代替。
qq_37425177的博客
11-15 544
本文章就是展示如何使用sendinput(在Excel的VBA中使用),实现EXCEL按键精灵一般的操作,Excel利用sendinput函数实现自动化操作,比如鼠标点击,复制粘贴
Word文档注入宏实现钓鱼复现
nzyp_的博客
07-13 1108
Word文档注入宏实现钓鱼复现 网上很多相关的文章,但都不是很细节,遇到了一些问题,在这里统一汇总一下。 前期准备 环境准备: 一台kali用于使用CS、一台靶机、一台vps服务器(这里使用kali) Word使用系统自带的Word2007 开始复现 首先启用Word的开发工具选项 创建一个doc或者docx文档,起一个混淆的名字。 打开kali,运行cs,创建Lisenter,点击Attacks-Packages-MS Office Macro选择监听者,然后复制 打开doc,点击开发工具里的
模拟鼠标键盘操作,含硬件模拟技术。
04-05 3009
键盘是我们使用计算机的一个很重要的输入设备了,即使在鼠标大行其道的今天,很多程序依然离不开键盘来操作。但是有时候,一些重复性的,很繁琐的键盘操作总会让人疲惫,于是就有了用程序来代替人们按键的方法,这样可以把很多重复性的键盘操作交给程序来模拟,省了很多精力,按键精灵就是这样的一个软件。那么我们怎样才能用VB来写一个程序,达到与按键精灵类似的功能呢?那就让我们来先了解一下windows中响应键盘事件的
vba 在光标插入文字_利用Excel自带的VBA模拟鼠标键盘输入,向某鱼PC端直播间批量发送弹幕...
weixin_39819283的博客
12-11 954
注意:各直播平台的用户协议通常都会禁止脚本发送弹幕,本网文章仅供学习交流,请不要在直播间恶意刷屏前段时间,某鱼取消了不能连续发送相同弹幕的限制2019年5月16日晚,某主播直播间被低级小号机器人刷屏,然后她开启了弹幕抽现金功能,持续10分钟,CD约为1秒钟在连续1分钟左手ctrl+V右手点击发送按钮后,我感觉手有点累,然后想起了自己曾经为某个██开发过一个类似按键精灵的东西稍加改装,测试可用htt...
WMI技术介绍和应用——查询系统信息和补丁包信息
编程语言小筑
02-06 1222
本文使用了《WMI技术介绍和应用——使用VC编写一个半同步查询WMI服务的类》中代码做为基础。本节只是列出了WQL语句,具体使用参看前面的例子。(转载请指明出于breaksoftware的csdn博客) 本文主要知识点是Win32_OperatingSystem和Win32_QuickFixEngineering类。通过该类我们将可以获取部分系统设置。 如何使用WMI获取系统UUI...
PHP168漏洞工具:0Day文件代码泄露与利用解析
0Day漏洞,即零日漏洞,是指在软件开发者知晓漏洞存在的那一天起,到软件厂商发布补丁修复这个漏洞的这段时间里,黑客可以利用漏洞进行攻击。因为从漏洞被发现(Day 0)到被广泛利用和公开(Day N)之间没有时间差...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值