一、基本情况

在上周。收到攻击邮件，附件包含一个excel文档，诱使用户打开

下载附件后，打开excel文档，显示为1个空文档，如下所示：

其实，在打开文档的时候，后台已经打开下载连接，下载地址是：
http://www.sanbarts.com/sdyy4y.exe

下载保存为本地%appdata%目录下，名为word.exe：

【一一帮助安全学习，所有资源关注我，私信回复“资料”获取一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥信息收集80条搜索语法
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

文件属性如下：

同时，word.exe运行后，会在%temp%目录下生成lvjudcwop.exe，以及其他两个非exe的文档，如下图所示：

进程执行顺序如下：excel.exe->EQNEDT32.EXE->word.exe->lvjudowop.exe，如下图所示：

因此，可以大致推断：本次邮件是利用cve-2017-11882(EQNEDT32.EXE公式编辑器漏洞)进行攻击。
攻击逻辑：访问下载
http://www.sanbarts.com/sdyy4y.exe，保存为word.exe并运行，word.exe运行后又释放lvjudowop.exe运行。

二、word.exe简要分析

接下来，我们看看word.exe

删除%temp%目录下nsa20c4.tmp文件

到0x841C位置

我们直接静态看： 0x841c，也可以看出word.exe真实的EXE长度其实就到这边了，后续带的都是附加的内容。

动态调试，可以看到ReadFile读的数据和上面静态内容一致，如下图。

之后，释放并生成文件：kcblmjjlps、 lvjudcwop.exe、oxq57q9q0cduyzn，之后，调用CreateProcess函数运行lvjudcwop.exe，参数为kcblmjjlps文件，如下图所示：

三、lvjudcwop.exe简要分析

首先打开kcblmjjlps文件

分配一段缓冲区，并进行初始化赋值

再分配一段内存，大小为0x136c（正是kcblmjjlps文件长度），调用fread读取文件内容到缓冲区0xD00000，如下图所示，读取的正是kcblmjjlps实际内容。

对缓冲区0xD00000内容进行解密操作，解密后的内容如下图所示：

调用EnumSystemCodePagesA函数执行解密内容（作为代码执行）

C++复制

BOOL EnumSystemCodePagesA(

[in] CODEPAGE_ENUMPROCA lpCodePageEnumProc,

[in] DWORD              dwFlags

);

汇编代码如下：

动态获取GetTempPath、GetModuleFileName、LoadLibary、…等函数的内存地址

打开oxq57q9q0cduyzn文件

读取文件内容：

对文件内容进行解密操作，解密后该内容其实是PE可执行文件，如下图所示：

四、小结

CVE-2017-11882漏洞由于稳定、效果好等特点，经久不衰，CVE-2017-11882漏洞变异样本层出不穷。