声明
出品|且听安全(ID: QCyber)
===================
以下内容,来自且听安全公众号的作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。
漏洞概述
2021年9月8日,微软发布安全通告,披露了Microsoft MSHTML远程代码执行漏洞,攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。
CVE-2021-40444
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
完整的攻击流程借用了微软分析文章里面的图:
Microsoft Security Blog
https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/
快速样本分析
在恶意样本在线查询网站下载到样本
938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52.zip
样本的MD5值为:
1d2094ce85d66878ee079185e2761beb。可以看到该样本早在9月2号就被该网站收录了。
注意该网站的样本解压密码为:
infected解压后可以得到一个docx文件
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-As1gqMDz-1655342874485)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rKPlhYZnEH5yT3Up7ibCFCPRM8Lx53G8iadkMb9olkqmnwtzTU7fFPibtA/640?wx_fmt=png)]](https://i-blog.csdnimg.cn/blog_migrate/53d2cf761e75dbcad1227e6bb66895f4.png)
熟悉的小伙伴都知道,docx文件其实就是一个zip压缩包,使用7zip等解压软件能够轻松将其解压出来:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0B4ws2Zg-1655342874486)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0riasA3oeQrK1AsdZWqVD93u1CdLy8maravQlstPfIzeRIxX5Megn6cZg/640?wx_fmt=png)]](https://i-blog.csdnimg.cn/blog_migrate/1aae064aee1fd6629e38270b5049a906.png)
通过简单浏览,很快就能发现一个可疑的文件:
word\_rels\document.xml.rels,其中有个可疑的下载链接:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bkZUKj2P-1655342874486)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rs414VtLNHWeZn7HeIlS52lnuFicb4I9Cazmkm9Xhr5Dbh5PjmT9cr7Q/640?wx_fmt=png)]](https://i-blog.csdnimg.cn/blog_migrate/79e9c80195a8737feaa88e84bb01876e.png)
尝试去下载该side.html文件,发现服务器无法访问了,经验证h****.com这个域名已经失效:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dBEhPSw3-1655342874486)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rrEhx18ACHH8CoGHY3NGKP0mR7EwpHTzRLKwGymxdFt5ajRaGXDFAPA/640?wx_fmt=png)]](https://i-blog.csdnimg.cn/blog_migrate/ac1f5f601defe24d50b4f5353477dd72.png)
尝试通过网络搜索该域名信息,可以找到域名对应的真实IP2:3.106.***.***
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4j4bLluj-1655342874487)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0r5mDQxxJcYmkoVEO5XKV0dibern8GTE3JOF3LJiciaZsbhUDby1FxTccFQ/640?wx_fmt=png)]](https://i-blog.csdnimg.cn/blog_migrate/8bf6a0558dd3b80bd91033bd706ea585.png)
抱着试试看的心情,用该IP来尝试下载,居然成功下载到可疑的html页面:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qwQ6MHj4-1655342874487)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0r8R8cdozIzvFibglXCcwtef68ApR0Fvh7gz0Nd9IVibrGSn2WbpGibFf9w/640?wx_fmt=png)]](https://i-blog.csdnimg.cn/blog_migrate/e3d517bd8df8242d2951088d08f8e0c9.png)
那就接着看一个这个神秘的html文件,发现文件中有一段更神秘的javascript代码:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FcnXFsG8-1655342874488)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rMapZLrIjjTdFTB6naSumzUT0x6u0LaJxxebWKhFYBcDoh1R64wZdCg/640?wx_fmt=png)]](https://i-blog.csdnimg.cn/blog_migrate/5e6750a5868d324aaa829336611bfe5b.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-d2Bpl8Gv-1655342874488)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rgcL63Bfjd9XKIJHVibD4qczKiaibCBJZxspcBw5cn4RpcDcSrZEAsvp5A/640?wx_fmt=png)]](https://i-blog.csdnimg.cn/blog_migrate/6f425553cfceeff167cd93ab86dbec99.png)
简单浏览side.html里面的javascript代码,又发现了一个可疑的下载链接http://hi***.com/e8c76295a5f9acb7/ministry.cab:
javascript代码明显是经过某种混淆后的结果,幸好代码不算复杂,我们通过vscode的js插件先将代码整理一下,最终通过手动分析和去混淆后可以得到如下的代码:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fHzbraTV-1655342874489)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rMAXtMPXjGLgboyX2q9rTts8maDA3IH8RLWje4I5L3PCKY4ZafoELQg/640?wx_fmt=png)]](https://i-blog.csdnimg.cn/blog_migrate/64e05539f4853ce58deabf6cc1ac3e57.png)
这段代码功能大概就是先利用XMLHttpRequest对象下载ministry.cab文件(这个地方可能是多余的,后面ActiveX也能实现下载),然后利用ActiveX控件自动从网络下载安装ministry.cab。
最后利用Control Panel objects (.cpl)来执行championship.inf文件(该文件暂时不知道从哪里来的),直接通过IP地址将ministry.cab下载回来:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Wl2Xvw3j-1655342874489)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0rYZ1F1QyzKXAOkyn16cer412ayULWaRW6iafefokicjVYibF8sJIIaq34g/640?wx_fmt=png)]](https://i-blog.csdnimg.cn/blog_migrate/c5c80e212532d6a8e27f198f0edb2d91.png)
接着分析这个ministry.cab文件,可以看到确实是微软的cab文件,尝试用cabextract解压发生错误(起初以为文件被破坏了,后来才知道这个异常却是漏洞利用的关键):
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5bxgFNCe-1655342874490)(https://mmbiz.qpic.cn/mmbiz_png/wQ0FicTls5iauNXqMkJeBQdmUF1W8WSY0ricZr2lbwYy2UNOyTGYXz0tDIQicHkXSibibWs1IkgjKvydauAdAj7QHowg/640?wx_fmt=png)]](https://i-blog.csdnimg.cn/blog_migrate/b2400d2b7a62fc440a7fac23fcf1ef56.png)
不过该cab文件中确实有champion-ship.inf这个文件,这就与javascript代码对上了。
这样整个样本的快速分析基本就到这里了,这里再理一下样本的利用思路:
-
发送恶意docx文件给用户点开
-
docx文件利用OleObject对象实现下载并解析side.html
-
side.html利用ActiveX控件实现下载ministry.cab,并释放championship.inf文件
-
最后利用Control Panel objects (.cpl)来执行championship.inf文件
好了,样本分析就到这里了,下一篇我们将进行漏洞复现和漏洞分析。关注我,不迷路!
参考
-
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
-
https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
