吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6158|回复: 32
收起左侧

[分享] 【原创】利用Office 文件嵌入的链接OLE对象下载恶意软件

  [复制链接]
tfrist 发表于 2022-6-2 07:06
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
这是当下这几天在网络安全领域新的热门话题。

发现我们论坛好像没有人讨论这个这几天突发的热门问题。那我来简单写一些吧。

现在CVE已经分配编号CVE-2022-30190来追踪这个问题。事件被命名为 "Follina"。

因为利用Office的嵌入式OLE对象来实现的,有人报了微软0day,但是微软认为office 有一个什么protect view可以防止攻击,所以不认为这是0day漏洞。 现在算不算承认了,也不好说。
(本人看完详细介绍说明之后,也认为这应该不算漏洞,可以说是一个bug或者功能被滥用了)

这个攻击方式已经被发现正在被利用来传播恶意软件。
我测试了几个类似的样本,打开就下载执行,没有任何安全提示信息。
以下是一个我找的Word的例子,里面有定义远程OLE对象 (蓝色下划线的就是 恶意URL,现在已经失效了)。




Word打开后,会自动访问这个URL,下载的内容是html带有恶意的脚本。
最终脚本会调用 ms-msdt协议(Microsoft Windows Support Diagnostic Tool (MSDT) )来执行恶意的动作。以下是一个例子:






之后msdt.exe会启动起来执行下载恶意软件并执行。



=====================================
微软已经会出一个补丁修复这个问题。大家记得补丁。 因为这个攻击再被大量利用。打开Office文件就会触发 没有任何提示。

如果不想打补丁,微软也提供的临时解决方案:  就是先禁止ms-msdt协议。

    1. 管理员权限打开命令行。
   2. 首先备份要修改的注册表项,防止有问题的时候好恢复。 "reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg"。
   3. 最后执行命令去删除 ms-msdt协议。 "reg delete HKEY_CLASSES_ROOT\ms-msdt /f"






这个不比熟悉的VBA/宏,打开的时候会有安全警告的提示 (默认的选项)。 而这个新的一旦打开word, excel或者powerpoint文件的就开始执行了。
你有可能就中了勒索病毒,远程控制木马 等等。
这几天国外安全网站全是这个。大家要警惕啊!!!

免费评分

参与人数 8吾爱币 +13 热心值 +8 收起 理由
lonelyThinker + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
yzyuan007 + 1 + 1 谢谢@Thanks!
tsecond + 2 + 1 我很赞同!
mykvbps + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
wanfon + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Hmily + 5 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
blindcat + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
weikun444 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| tfrist 发表于 2022-6-4 11:22
mykvbps 发表于 2022-6-4 08:15
请教下:命令在 win10 的 cmd 中可以运行,但在 win7 中却提示 ”系统找不到指定的注册表项或值“。

看 ...

我刚才找了找,确实很少明确说 Win7上怎么删的。因为我手头也没有win7,以下的步骤你可以试试看(前提是你要熟悉注册表编辑器,并且备份一下注册表再操作):

1>打开注册表编辑器 regedit.exe.   

(以下子键和它下面的值有可能会不存在,那就需要你去手动创建)
2> 定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics
3> 在上面子键下面,创建新的值 (dword),名称 "EnableDiagnostics",并且设定值为0.  像下面这样类似

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
tsecond + 1 + 1 热心回复!

查看全部评分

 楼主| tfrist 发表于 2022-6-4 11:24
mykvbps 发表于 2022-6-4 08:15
请教下:命令在 win10 的 cmd 中可以运行,但在 win7 中却提示 ”系统找不到指定的注册表项或值“。

看 ...

还有一个办法 就是把有问题的那个可执行文件 "c:\windows\system32\msdt.exe", 改名字 或者设定特殊的权限 不允许它执行。 我看到有文章这样说,但是没有详细信息,我自己在win10上试着做的时候没有成功。 你可以按着个思路去搜索一下看看,怎么修改windows目录下的文件名或者关闭执行权限。
WY1234 发表于 2022-6-2 07:56
l441669899 发表于 2022-6-2 07:58
感谢楼主!运行一下  "reg delete HKEY_CLASSES_ROOT\ms-msdt /f" 就行?
iawyxkdn8 发表于 2022-6-2 08:03
楼主辛苦了。谢谢分享!
 楼主| tfrist 发表于 2022-6-2 08:03
l441669899 发表于 2022-6-2 07:58
感谢楼主!运行一下  "reg delete HKEY_CLASSES_ROOT\ms-msdt /f" 就行?

是的  这样就相当于把  ms-msdt协议给删除了  攻击链就断了!
jxj7823 发表于 2022-6-2 08:03
什么时候能看懂说的是什么就厉害了
shaokui123 发表于 2022-6-2 08:12
只适应word好不好
ilpj 发表于 2022-6-2 08:15
感谢分享,楼主辛苦了。
kokoi1 发表于 2022-6-2 08:22
新的热门话题
lnshijia 发表于 2022-6-2 09:33
公司只用wps,哎
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:51

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表