利用Follina漏洞网络攻击的加密流量分析

2022-06-13|


  1. 概述

2022年5月27日,我们发现有安全研究人员公开了一个新的Office漏洞,称为Follina,由白俄罗斯的一个IP地址上传。该漏洞的原理是利用Microsoft Office将远程HTML页面作为OLE对象插入的功能,文档打开后将访问远程HTML页面并执行其中的代码,攻击者利用js代码将页面重定向,使其通过"ms-msdt:"协议访问URL链接,调用本地msdt.exe并传入攻击者构造好的参数,最终执行任意PowerShell代码。值得注意的是,该漏洞在宏被禁用的情况下仍可被利用,具有较大的安全隐患。

6月初,研究人员公开了一个针对乌克兰的攻击样本(
7908d7095ed1cde36b7fd8f45966fc56f0b72ca131121fdb3f8397c0710100e1),发现有组织使用Cobalt Strike Beacon恶意软件并利用该漏洞CVE-2022-30190对乌克兰国家组织进行了网络攻击。下面将对该漏洞的利用和此样本产生的流量进行分析。

二、Follina漏洞利用

1.使用网上已公开的poc

https://github.com/chvancooten/follina[ . ]py

2.在当前目录下生成clickme.docx和www下exploit.html,并启动监听

python follina.py -t docx -m binary -b windowssystem32calc.exe -H 127.0.0.1 -P 8080

3.在word启动时可以看到“正在打开
http://localhost:8080/exploit[ . ]html”,说明word和服务端建立连接成功,弹出calc.exe,漏洞利用成功

三、TLS加密流量分析

1.捕获的流量中检测到nod-update[ . ]it可疑域名,每隔一段时间,Beacon会对nod-update[ . ]it发出A记录dns查询

2. 下图为样本通信时的流量,使用TLS加密

3.服务器已经不存活,主机无法上线,TCP建立握手连接失败

4.从流量导出的证书,颁发者是CN = R3 O = Let's Encrypt C = US ,指纹是
85fbc86f7a5411e6472b167c8016723a51cc090a,
R3的颁发机构为ISRG Root X1,是一个免费的证书颁发机构,由于免费证书申请不会经过严格的使用者身份验证,较容易获取,因此,经常被黑客或恶意程序使用。

5.观成瞰云(ENS)-加密威胁智能检测系统针对本次测试产生的加密流量进行检出,从握手检测、域名检测、证书检测进行多模型分析,综合评分为0.76。

四、总结

随着Follina漏洞的出现,改变了以前要“钓鱼”就要想办法绕过office宏禁止机制的攻击方法,取得了新的突破,网络攻击的手段变得越来越多样化,通信方式也变得隐蔽化和加密化,这一趋势给流量检测带来了更高挑战。


标签: 漏洞 流量 利用 加密 检测 Follina 乌克兰 证书 攻击 进行
出处: https://www.toutiao.com/article/7108548448479199756/

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护