实战邮件攻击简要分析【网络安全】

一、基本情况

在上周。收到攻击邮件，附件包含一个 excel 文档，诱使用户打开

下载附件后，打开 excel 文档，显示为 1 个空文档，如下所示：

其实，在打开文档的时候，后台已经打开下载连接，下载地址是：http://www.sanbarts.com/sdyy4y.exe

下载保存为本地 %appdata%目录下，名为 word.exe：

【一一帮助安全学习，所有资源获取处一一】

①网络安全学习路线

②20 份渗透测试电子书

③安全攻防 357 页笔记

④50 份安全攻防面试指南

⑤安全红队渗透工具包

⑥信息收集 80 条搜索语法

⑦100 个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年 CTF 夺旗赛题解析

文件属性如下：

同时，word.exe 运行后，会在 %temp%目录下生成 lvjudcwop.exe，以及其他两个非 exe 的文档，如下图所示：

进程执行顺序如下：excel.exe->EQNEDT32.EXE->word.exe->lvjudowop.exe，如下图所示：

因此，可以大致推断：本次邮件是利用 cve-2017-11882(EQNEDT32.EXE 公式编辑器漏洞)进行攻击。攻击逻辑：访问下载http://www.sanbarts.com/sdyy4y.exe，保存为word.exe并运行，word.exe 运行后又释放 lvjudowop.exe 运行。

二、word.exe 简要分析

接下来，我们看看 word.exe

删除 %temp%目录下 nsa20c4.tmp 文件

到 0x841C 位置

我们直接静态看： 0x841c，也可以看出 word.exe 真实的 EXE 长度其实就到这边了，后续带的都是附加的内容。

动态调试，可以看到 ReadFile 读的数据和上面静态内容一致，如下图。

之后，释放并生成文件：kcblmjjlps、 lvjudcwop.exe、oxq57q9q0cduyzn，之后，调用 CreateProcess 函数运行 lvjudcwop.exe，参数为 kcblmjjlps 文件，如下图所示：

三、lvjudcwop.exe 简要分析

首先打开 kcblmjjlps 文件

分配一段缓冲区，并进行初始化赋值

再分配一段内存，大小为 0x136c（正是 kcblmjjlps 文件长度），调用 fread 读取文件内容到缓冲区 0xD00000，如下图所示，读取的正是 kcblmjjlps 实际内容。

对缓冲区 0xD00000 内容进行解密操作，解密后的内容如下图所示：

调用 EnumSystemCodePagesA 函数执行解密内容（作为代码执行）

C++复制
BOOL EnumSystemCodePagesA(
[in] CODEPAGE_ENUMPROCA lpCodePageEnumProc,
[in] DWORD              dwFlags
);

汇编代码如下：

动态获取 GetTempPath、GetModuleFileName、LoadLibary、…等函数的内存地址

打开 oxq57q9q0cduyzn 文件

读取文件内容：

对文件内容进行解密操作，解密后该内容其实是 PE 可执行文件，如下图所示：

四、小结

CVE-2017-11882 漏洞由于稳定、效果好等特点，经久不衰，CVE-2017-11882 漏洞变异样本层出不穷。