avatar

目录
.eps malware

分析CVE 2017-0261的.EPS恶意文件

EPS

EPS(英文全称:Encapsulated PostScript)是PostScript的一种延伸类型,是目前系统中功能最强的一种图像文件格式。

最近发现一个印度白象组织的样本,样本中使用了CVE 2017-0261的漏洞。

打开Office文档时,FLTLDR.EXE将被用于渲染包含该漏洞的嵌入式EPS文件。该文件是由PostScript语言编写而成,可以被攻击者通过”save-restore”操作利用,其本质为一UAF漏洞。 当用户打开包含格式错误的图形图像的文件时,或者当用户将格式错误的图形图像插入到 Office 文件时,该漏洞可能会受到利用。

样本情况

File Name : Chinese_Pakistani_fighter_planes_play_war_games.docx

File Size : 464,356 Byte

File md5 : 6d63dc5cdb504f3365403c1296e696a0

样本打开后如图:

打开样本后,可以看见启动了子进程FLTLDR.EXE,虽然存活时间很短,至少它启动了。

如何调试恶意代码

.EPS恶意代码存放在Word中的\word\media\目录下,7z打开.doc文件拖出来即可

在调试的时候发现,Word文档的.EPS和韩国HWP的.EPS调试好像不太一样,韩国的HWP可以直接用cerbero_suite_advanced将其中的Shellcode解压出来,但是Word文档不行。

后来在Github找到了一个LoadEPS的软件,https://github.com/pdfswf/eps-CVE-2017-0261

具体使用方法,将样本的.eps恶意文件放入\done\文件夹内覆盖poc.eps,利用loadeps.exe加载恶意.eps,然后使用OD加载loadeps.exe,这里可以用镜像劫持加载,也可以先用OD加载loadeps.exe然后在OD内修改参数

加载后如图:

加载后在4011EE地址处下断,F7步入,Alt+M找到EPSIMP32的加载基址

用IDA打开前面文件内的EPSIMP32.idb,修改基址,定位到closefile的地址

到了closefile_proc的地址,往下找到ROP链执行Shellcode的地方下断

F7步入,可以发现有VirtualProtect函数修改内存页属性为PAGE_EXECUTE_READWRITE,这里的内存地址就是Shellcode存在的地址,可以跟过去调试了

Shellcode

申请内存,获取API地址

硬编码kernel32.dll,ntdll.dll加载并从中获取函数地址

展开系统变量,获取路径%windir%\temp,并在目录内创建一个文件然后又马上删除

检查WINWORD.exe进程,随便点开一个word文档,保存WINWORD进程存在

这里需要F7进去手动修改一下,因为这样本在获取函数地址的时候,没有获取到CreateToolhelp32Snapshot这个函数,导致call edi的时候edi寄存器为0,程序会出错,需要手动修改edi的值为CreateToolhelp32Snapshot的函数地址

遍历进程,判断WINWORD.EXE是否存在

创建文件“C:\Users\sam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MSBuild.exe”

将一个PE文件写入创建的MSBuild.exe中

这里PE文件来自于.eps文件中的内容,与老版本不同的是,老版本是直接写在.eps中只需要添加MZ即可,这里是通过XOR 0x16082019的计算后得出,每四字节与key 0x16082019 进行异或计算

这里可以写一个JS代码测试一下,在浏览器console直接运行

javascript
1
2
3
4
5
6
function xor(str){
        var arr = str.split(" ");
        var s = "";
        for(var i in arr) s += (parseInt("0x" + arr[i]) ^ 0x16082019).toString(16) + " ";
        console.log(s.toUpperCase());
}

再次给样本修复CreateToolhelp32Snapshot的地址,样本会遍历进程查找explorer.exe进程并向其中注入代码

注入的代码也来自于.eps文件中

注入代码的功能是启动前面释放的MSBuild.exe

创建一个隐藏文件

“C:\ProgramData/Microsoft/DeviceSync/Chinese_Pakistani_fighter_planes_play_war_games_to_prove_a_point_to_India.docxt”并将.EPS中的一个Word文档写入

创建进程执行这个释放出的文档然后退出进程

.eps的代码到这里结束,后面的情况就好分析了

文章作者: Yenn_
文章链接: https://0xdf1001f.github.io/2021/01/19/eps-malware/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Wei's Blog

评论