微软的11月份的安全补丁包含了一个遮盖17年之久的Office而已代码本质罅隙（CVE-2017-11882）国产自拍，该罅隙影响当今悉数流行的Office软件。360核快慰全高等胁迫搪塞团队握续追踪和关爱该罅隙的领略，并于北京时刻11月21日18点45分全球初度截获到了该罅隙的信得过报复！报复者不错应用该罅隙向中招用户电脑中植入远控木马或后门格式等坏心格式。

                     图1 360核快慰全高等胁迫搪塞团队在蜜罐中拿获到的报复实例

该罅隙所应用的是微软Office格式的一个名为“EQNEDT32.EXE”的组件。看到这个格式名公共可能会比拟生分，但它的另一个名字公共就会很闇练了——“公式裁剪器”。此次出现的罅隙报复，即是针对公式裁剪器发起的。故此，咱们也将该罅隙称之为“恶梦公式”罅隙。

图2 公式裁剪器

当用户通达被黑客全心盘算过的坏心文档时，文档代码会在无需用户手动运转公式裁剪器的情况下自动触发罅隙。

从咱们截获到的样分内析发现，该样本会下载而已事业器上的坏心hta格式到土产货本质，并进一步下载更多坏心格式到用户机器上并本质。此后续的这些坏心格式可都备抛弃用户推断机，盗取用户的个东说念主秘籍，严重胁迫用户的信息安全。

图3 从通达坏心文档到黑客都备抛弃推断机的经过。

而从中招用户角度看，从通达文档直到被用户抛弃，悉数这个词过程险些是莫得任何感知的。一切的看成都是在系统中静暗暗的就完成了。下图即是因罅隙触发而被加载的hta格式的实质。

图4 hxxp://188.166.***.213:9999/abc代码截图

         该hta格式调用powershell.exe本质位于hxxp://188.166.***.213/a上的powershell剧本，该剧本实质如下所示。

图5 powershell剧本实质

         该剧本是一个通过base64编码并通过gzip压缩的payload，解码并解压后的剧本实质如下图示。

图6 解码并解压后的剧本实质

         剧本将肯求一段内存，写入shellcode并本质，shellcode通过base64编码，解码后如下图所示。

图7 写入内存中本质的shellcode

该shellcode是通过metasploit生成的反弹shell的shellcode，C&C地址为188.166.***.213。

此外，还发现另一例应用该罅隙传播远控木马的报复实例。报复者一样是应用罅隙本质事业器上的hta格式，地址为hxxp://210.245.***.178/23.hta。

图8 另一报复实例使用的hta格式

该hta格式通过bitsadmin下载hxxp://210.245.***.178/office.exe到土产货C盘根目次下并定名为baidu.exe，并本质该格式。

该格式是个远控木马，收受抛弃端传递的领导本质相应功能。C&C地址为210.245.***.178。

图9 远控木马收受抛弃端发送的领导

由于办公文档不是可本质格式，东说念主们在搜检doc等文档文献时会省心通达。然则当Office办公软件存在罅隙时，正本“无毒无害”的文档也会成为黑客的致命兵器。Office用户应实时安设微软11月补丁，从而透澈免疫“恶梦公式”罅隙。

当今微软只对Office2007 sp3及以上版块提供补丁，部分还在流行的老版块Office莫得补丁。360安全卫士已罢了对此罅隙的“无补丁留心”，不错羁系“恶梦公式”罅隙报复，确保老版块Office用户的电脑安全。

图10：360安全卫士羁系Office“恶梦公式”罅隙报复

[培训]内核驱动高等班国产自拍，冲击BAT一流互联网大厂责任，每周日13:00-18:00直播讲课

• Office
• 国产自拍
• 包袱
• 罅隙
• 恶梦公式