使用 Office 公式编辑器漏洞安装键盘记录器

吉沃运营专员

本篇报告来自：https://asec.ahnlab.com/en/66720/

AhnLab 安全情报中心 (ASEC) 已确定 Kimsuky 威胁组织最近利用 MS Office (EQNEDT32.EXE) 中的公式编辑器中的漏洞 (CVE-2017-11882) 来传播键盘记录器。攻击者通过利用该漏洞通过 mshta 进程运行嵌入恶意脚本的页面来传播键盘记录器。





mshta 连接到的页面是 http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php 并使用文件名 error.php。如上图所示，"Not Found" 消息让用户感觉好像没有建立连接，但恶意脚本正在运行。



上图显示了 error.php 的内容，主要行为包括通过PowerShell 命令从 C2 (Query=50) 下载额外的恶意软件菌株，在 Users\Public\Pictures 路径下创建名为 desktop.ini.bak 的文件，并将 desktop.ini.bak 文件注册到在 HKLM 下运行名为 "Clear Web History" 的密钥，以允许其再次运行。虽然通过 PowerShell 下载并执行了额外的恶意软件，但攻击者在运行 wscript 的部分进行了错误编码，导致无法注册到 Run 键并创建文件。当出于复制目的编辑脚本并使其按预期运行时，将创建 Desktop.ini.bak 文件并将其自身正确注册到注册表项，如下图所示





第一个下载的恶意软件是 PowerShell 脚本，如上图所示。它收集系统和 IP 信息并将其发送到 C2 (Query=97)。此外，它还可以从 C2 下载并执行键盘记录器 (Query=107)。





上图显示了键盘记录器主要部分的脚本，该脚本在 Users\Public\Music 路径下创建文件 desktop.ini.bak，用于记录用户的键盘记录数据以及剪贴板数据。



Kimsuky 组织仍然利用之前经常使用的 MS Office 方程编辑器 (EQNEDT32.EXE) 中的漏洞 (CVE-2017-11882)，以提高攻击的成功率，修补漏洞以防止旧漏洞感染恶意软件非常重要。软件必须始终更新到最新版本，用户应避免使用已达到服务终止 (EOS) 的软件。另外，用户切勿打开可疑文档文件，并提前将 V3 更新至最新版本，以防止恶意软件感染。除了端点安全产品 (V3) 之外，还必须实施基于沙箱的 APT 解决方案 (例如 MDS)，以防止网络攻击造成的危害。

IOC

• 279c86f3796d14d2a4d89049c2b3fa2d
• 5bfeef520eb1e62ea2ef313bb979aeae
• d404ab9c8722fc97cceb95f258a2e70d