微软漏洞变种样本绕过多家杀软，恐将掀起新一轮Office漏洞攻击!

在文本编辑器中浏览该文件也未发现明文的URL，文件路径或是命令等信息。

经过分析，我们发现这批样本是公式编辑器系列漏洞的新利用方式。可以用于构造和CVE-2017-11882，CVE-2018-0802相同触发机制，但静态特征更少的恶意样本。

首先可以观察到，这个CFBF对象的Root Entry带有一个CLSID {0002CE02-0000-0000-C000-000000000046}。

而这个CLSID对应的对象是Microsoft Equation 3.0，即该对象是一个公式3.0编辑器对象。

注意到这里可能是对虚函数表的调用，28行的s_EquationNative是流名，则v10这个唯一的out变量应该对应于IStream，那么a2应该对应于IStorage。

进行标注后得到以下结果。

我们来梳理一下图中这一段的逻辑：

在第26~29行，公式编辑器首先尝试从CFBF对象中读取名为"Equation Native"的流。如果失败(v11不为0)，则尝试读取名为"\x01Ole10Native"的流。

在第35行，公式编辑器根据流的类型，从流中读取不同大小的数据到一个变量中。如果流的类型是"Equation Native"，则读取0x1C个字节；如果流的类型是"\x01Ole10Native"，则读取4个字节。根据之前对于CVE-2017-11882等漏洞的分析，可以得知这里是在处理公式对象的OLE头。

在第38行，判断了数据的头部是否正确。如果流的类型是"\x01Ole10Native"，则不作任何检查；如果流的类型是"Equation Native"，则判断OLE头的前两个字节是不是0x001C(小端序)，及随后的四个字节是不是0x00020000(小端序)。

在第40~43行，根据流的类型为接下来的公式数据分配内存空间。如果流的类型是"\x01Ole10Native"，则流的前4个字节([v9+0])就是数据大小；如果流的类型是"Equation Native"，则流的第8个字节处的DWORD就是数据大小，而图中的v14([esp+0x3C])正好是v13([esp+0x34])偏移量为8的位置。

在第50~53行，根据流的类型来读入公式数据。对两种流的处理实际是相同的。而在第66行的函数调用中，程序对读入的公式数据开始进行处理。

也就是说，两种不同的流，对应的数据，区别仅仅是数据头："Equation Native"流的数据头是0x1C个字节，而"\x01Ole10Native"流的数据头仅仅是4个字节。

我们继续回到样本数据处进行查看。

前面的5个字节是公式头数据。按理说应该是如下格式。

但是实际上，上图中的第1、3、4三个字段是被公式编辑器的处理函数忽略掉了的。

我们可以注意到，该样本中的前五个字节中，在第1、3、4个字段有意地使用了错误的数值，使得静态特征更难被提取。

接下来的"0a"，"01"数据分别对应初始SIZE记录和LINE记录，然后"08 b3 c1"对应的是FONT表记录，即CVE-2017-11882/CVE-2018-0802漏洞。

随后的部分就是shellcode了。这里可以确定是CVE-2018-0802漏洞。

2、在注册表中取消该模块的注册。

对于在64位操作系统上的32位的Office，执行下列操作

3、天阗高级持续性威胁检测与管理系统，无需升级即可有效检测变种公式编辑器漏洞样本。

4、使用VenusEye威胁情报中心可以查询与该样本相关的威胁情报信息。

其他相关IOC：

www[.]pensandwoodworking[.]com

www[.]euroasianbridge[.]com

www[.]dlpestscontrol[.]com

www[.]salihatasarim[.]com

www[.]datascienceactuaries[.]net

www[.]wisataanambas[.]com

www[.]5nesglaz[.]online

www[.]tewyt[.]info

www[.]rahafim[.]com

www[.]gardenshades[.]com

www[.]beb-sef-sufficient[.]com

www[.]femmefeline[.]com

www[.]edosensei[.]com

www[.]outdoormerk[.]com

www[.]prfitvxnfe[.]info

www[.]bloggingsays[.]com

www[.]rahafim[.]com

文章摘自微信公众号：启明星辰