CVE-2017-11882
1.使用工具监控文件行为,查看到运行文档后系统拉起了eqnedt32.exe进程,并且通过抓包捕获到下载EXE文件的流量,由此判断是利用CVE-2017-11882执行恶意代码:
2.通过附加调试器,在Kernel32!WinExec下断点,查看寄存器值,找到运行了"C:\Users\root\AppData\Roaming\Adobe.exe"的命令,与捕获到的流量信息相结合判断,恶意代码应是下载文件保存到本地然后运行,推断使用了URLDownloadToFile相关API:
3.附加调试器对网络相关API下断调试,但程序并没有断下,于是在eqnedt32.exe造成溢出的函数处下断,单步调试到ret覆盖的返回地址,执行恶意代码:
4.恶意代码先对内存进行解密操作,图中是解密前后对比,可以直观的看到所使用的字符串信息,通过动态获取API地址,调用URLDownloadToFileW下载文件,再通过WinExec运行:
AgentTesla
1. AgentTesla是用.Net框架编写的键盘记录器,使用反编译工具查看代码,自定义函数名都进行了混淆,但使用的API和关键字符串仍然是明文的,可以看到进行键击记录的代码:
2.除了键盘记录以外,还会通过读取注册表键值来获取主机信息:
3.使用DES算法加密所要发送的数据:
4.有三种可选的方式将窃取到的数据上传至远程C&C端:
通过FTP上传:
通过SMTP上传:
通过HTTP上传:
5. AgentTesla的资源中内嵌了一个DLL文件,名为IELibrary.dll,是一个用于实现浏览器操作的DLL文件,在AgentTesla中定义了需要窃取信息的浏览器及网络套件名称,这是在使用控制端生成恶意程序时的可选项:
6. IELibrary.dll主要针对浏览器进行信息收集和操作,包括历史记录的增删查:
窃取密码及cookie:
病毒检测查杀
1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2、某公司EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:
病毒防御
1、不从不明网站下载软件,不要点击来源不明的邮件附件,不随意启用宏;
2、下载补丁修补CVE-2017-11882:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882
3、开启Windows Update功能,定期对系统进行自动更新;
4、某公司防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果;
5、使用某公司安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。
现在病毒越来越高级,我们该如何让防范?
快来说说你的抗病毒绝招~
发表于 2019-5-31 09:19
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级