ole技术 利用了Office公式编辑器特殊处理逻辑的最新免杀技术分析（CVE-2017-11882）

背景

2018年8月24日，360威胁情报中心截获了一份专门为乌克兰语使用者设计的钓鱼文档:该文档为RTF文件格式，文档内容详细。经分析确认，这是首个专门针对Office Formula Editor特殊处理逻辑设计的绕过杀毒软件的漏洞利用样本，涉及的漏洞为CVE-2017-11882。

由于该漏洞触发的Payload已经过期，360威胁情报中心对本文样本使用的特殊免杀技术进行了详细分析，并提醒各杀毒软件厂商做好检测这种利用方式的工作。由于免杀技术已经出现在野外使用的样本中，可能会有大量的实际攻击样本使用免杀方法逃避杀软检测，形成新的威胁。

总结一下免杀原则

回顾一下在RTF中Office处理objdata对象的过程，我们可以通过这个免杀样本总结一下触发equival漏洞的过程:

1.攻击者在objdata之后附加了非CFB格式的数据(仅01 ole10公式数据的原始流)，迫使Office通过objdataheader中的流名(等式3)找到相应处理的clsid，然后转向处理流程。

2.由于附加了公式对象的01ol E10非活动流(030101…部分数据)，EquEdt32.exe进程未能打开等式本机流，而是直接处理了数据长度在objdata标头中指定的01ol E10非活动流，从而触发了攻击。

由于非CFB格式(D0 CF 11…)的数据是附在免杀样本objdata之后的，正常情况必须是所携带的CFB数据，处理对象的程序(如方程式)是基于从CFB数据中获得的clsid找到的，这直接导致绕过了大部分软检测逻辑。而且下面的公式数据没有公式对象的一级特征，这也使得部分样本杀软失败，这是样本绕过软检测的主要原因。

IOC MD5 0a8 efb 742 ef 488 BCB 8 cdd 6b 616125 EEA引用

[1].https://ti.360.net

[2].https://portal . msrc . Microsoft . com/en-us/security-guidelines/advisory/CVE-2017-11882

[3].https://github . com/Paolo-Maffei/OpenNT/blob/5 C5 b 979 EC 08 c 17 D3 ca 2 EB 70 E8 aad 62d 26515d 01 c/com/ole32/ole232/ole1/ostm 2 stg . CPP

*作者:360天眼实验室，请注明来自FreeBuf.COM