当键盘大盗爱上cve

最近,利用cve 2010 0158漏洞的样本又出现了一波上情,cve 2010 0158漏洞堪称女人界的高圆圆,男人界的吴彦祖,深受网络攻击者喜爱,当然,cve 2010 0158也不负众望,以其利用简单,多平台通用等特点独领风骚。正所谓“王八看绿豆”,键盘记录这位小伙也看上了cve 2010 0158妹妹的漏洞。

Rtf样本

样本MD5:

5b8b66dd74d6bd9d66c59a008eea9182

样本是一个rtf文件。

使用下面的命令在溢出的地方下断点(ps:不同软件版本的符号地址可能会不一致):

Bu MSCOMCTL!DllGetClassObject+0x41cbf

断下后,


从栈中看当前函数调用的三个参数:

参数的含义分别为:

第一个参数为拷贝的目的地址

第二个参数为拷贝的源地址

第三个参数为拷贝大小。

调用完此函数后,会将第一个参数所在的地址(这个地址是栈空间的地址)覆盖,进而覆盖到栈中的返回地址的数据,以达到将EIP指定自己的shellcode.的卑鄙目的。

让我们看看EIP被压住后,不,被覆盖住后的情形:

覆盖后的栈空间:


这段shellcode对应的文件中的内容:


Shellcode功能是是调用urldownloadtofile下载文件到pong.exe。随后执行pong.exe

下载地址为:http://falcanog.com/IKENNA.exe

Pong.exe


Pong.exe的文件信息:

Md5 | 8266f758c87eb6309ed612a6a26e7ae0

文件描述 | Microsoft

文件版本 | 1.0.2.0

内部名称 |  Microsoft.exe


Pong.exe为一个dotnet生成的文件,使用dnspy对其进行动态调试,发现其为一个keylogger类型的窃密程序,其将窃取到的信息发送到[email protected]邮箱中,当然邮箱密码我们也可以从程序中分析得到。


邮箱名 |  [email protected]

端口  |  25

密码  | admin12345


打开邮箱对应的域名,如下图,可以看到pong.exe还有两个木马兄弟,afrika.exe和newtender.exe。


调试过程中得到的邮箱信息:

感染USB移动设备:

获取Firwall信息:

得到AntiVirus信息:

运行后会弹虚假框:


对各家浏览器密码的盗取:


隐藏文件夹:


启动项,以实现开机后“我一定会再回来的”目的:


你可能感兴趣的:(当键盘大盗爱上cve)