一个利用了CVE-2021-40444漏洞的样本分析

1.背景

前段时间微软披露了cve-2021-40444,紧随其后就有大量的样本利用了此漏洞,本篇来分析一下一个利用了此漏洞的样本。

2.样本信息

  • 样本名称:A Letter before court 4.docx
  • 样本大小:24177字节
  • 样本类型:TrojanDownloader、exploit、cve-2021-40444
  • SHA256:938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52

3.详细分析

3.1 样本分析

打开文档看到正在从指定地址下载side.html文件。

将DOCX格式改为压缩包格式进行解压缩,在文件内找到\word\_rels下的document.xml.rels文件,打开它可以看到请求下载的地址。

打开下载的side.html文件,里面是混淆过的JS代码,它会创建恶意的ActiveX控制来利用CVE-2021-40444漏洞。

github上有人已经公开了POC,在其中有未混淆的JS代码,github地址

查看此JS文件,可以看到其访问获取cab的路径,然后会通过执行cpl命令去执行一个inf文件。

3.2 cve-2021-40444漏洞复现利用

现在复现一下此漏洞,还原整个攻击流程。

github地址这里有已经编写好的EXP,可以直接利用。

自己编写一个DLL,来弹出计算器。

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        WinExec("calc.exe", SW_SHOW);//弹出计算器
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

编译,指定自己的DLL文件和服务器地址。然后会在out目录下生成一个DOC文档。

在测试机打开文档,弹出计算器,效果如下

通过火绒剑监控行为,可以看到样本通过rundll32执行了命令,msword.inf就是样本中的championship.inf只是名字不同。

在指定目录下生成的inf文件

3.3 championship.inf分析

championship.inf实际上是一个DLL文件,现在来分析一下此DLL文件,首先通过fakenet判断它会访问macuwf.com/get_load。

动态加载后面要用的一些API

通过WMI接口来创建进程wabmig.exe

遍历线程

提升进程SeDebugPrivilege权限

执行APC注入,向目标进程wabmig.exe写入shellcode

最后会启动powershell删除自身

据卡巴斯基称最终的payload会是一个Cobalt Strike,该恶意软件允许攻击者获取设备的远程访问权限。

4.防范建议

  1. 及时更新安全补丁

  2. 及时更新杀毒软件

  3. 不要轻易打开未知来源的OFFICE文件。

  4. 禁用ActiveX控件

  5. 将以下内容复制到文本文档中,保存为.reg文件并且执行

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    "1001"=dword:00000003
    "1004"=dword:00000003
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
    "1001"=dword:00000003
    "1004"=dword:00000003
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
    "1001"=dword:00000003
    "1004"=dword:00000003
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
    "1001"=dword:00000003
    "1004"=dword:00000003
    

5.IOCS

MD5:

1d2094ce85d66878ee079185e2761beb

4c80dc9fb7483214b1613957aae57e2a

faf0a0b2e0d987fd487c63f6495a9fa4

e770385f9a743ad4098f510166699305

URL:

http://hidusi.com/e8c76295a5f9acb7/side.html

http://hidusi.com/e8c76295a5f9acb7/ministry.cab

http://macuwf.com

http://macuwf.com/get_load

6.参考链接

https://paper.seebug.org/1718/

https://github.com/lockedbyte/CVE-2021-40444

https://www.trendmicro.com/en_no/research/21/i/remote-code-execution-zero-day–cve-2021-40444–hits-windows–tr.html

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

https://securelist.com/exploitation-of-the-cve-2021-40444-vulnerability-in-mshtml/104218/

评论(1)

3transverse

2022/09/02 20:12
3hopefully

发表评论

captcha