网页挂马漏洞CVE-2018-8373分析与检测技术文档<\/h1>

一、漏洞概述<\/h2>
CVE-2018-8373是2018年8月由趋势科技披露的一个IE浏览器漏洞，属于VBScript引擎中的释放后重用(UAF)漏洞。攻击者通过构造特制的网页，可以在受害者访问时实现远程代码执行，常被用于"Drive-By-Download"攻击（网页挂马）。<\/p>

二、漏洞技术分析<\/h2>

2.1 漏洞触发机制<\/h3>

该漏洞的核心在于VBScript中对动态数组处理不当导致的释放后重用问题，具体流程如下：<\/p>

类初始化阶段<\/strong>：<\/p>

通过new<\/code>创建类实例时，调用vbscript!VBScriptClass::Create<\/code>和vbscript!VBScriptClass::InitializeClass<\/code><\/li>
在类初始化中尝试创建数组，但初始创建失败（维度为空）<\/li> <\/ul> <\/li>
数组重定义阶段<\/strong>：<\/p> 使用Redim<\/code>重新定义数组为一维数组（长度3）<\/li> 由于初始创建失败，实际再次调用vbscript!MakeArray<\/code>创建新数组<\/li> <\/ul> <\/li> 漏洞触发阶段<\/strong>：<\/p> 访问数组元素时调用vbscript!AccessArray<\/code>和vbscript!AssignVar<\/code><\/li> 在赋值操作中，源操作数获取时触发Public Default Property Get<\/code><\/li> 期间会调用vbscript!RedimPreserveArray<\/code>重新分配数组内存<\/li> 导致目标地址被释放但后续仍被使用（UAF）<\/li> <\/ul> <\/li> <\/ol> 2.2 关键数据结构<\/h3> VARIANT类型<\/strong>：<\/p> typedef<\/span> struct<\/span> tagVARIANT { <\/span><\/span> VARTYPE vt; <\/span><\/span> WORD wReserved1; <\/span><\/span> WORD wReserved2; <\/span><\/span> WORD wReserved3; <\/span><\/span> union<\/span> { <\/span><\/span> \/\/ 各种类型数据 <\/span><\/span><\/span><\/span> }; <\/span><\/span>} VARIANT; <\/span><\/span><\/code><\/pre><\/li> tagSafeArray（动态数组结构）<\/strong>：<\/p> typedef<\/span> struct<\/span> tagSAFEARRAY { <\/span><\/span> USHORT cDims; \/\/ 维度数 <\/span><\/span><\/span><\/span> USHORT fFeatures; \/\/ 特征标志 <\/span><\/span><\/span><\/span> ULONG cbElements; \/\/ 元素大小 <\/span><\/span><\/span><\/span> ULONG cLocks; \/\/ 锁计数 <\/span><\/span><\/span><\/span> PVOID pvData; \/\/ 数据指针 <\/span><\/span><\/span><\/span> SAFEARRAYBOUND rgsabound[1<\/span>]; \/\/ 维度信息 <\/span><\/span><\/span><\/span>} SAFEARRAY; <\/span><\/span><\/code><\/pre><\/li> <\/ol> 2.3 漏洞利用技术<\/h3> 攻击者利用该漏洞的主要步骤：<\/p> 通过UAF控制释放的内存区域<\/li> 构造大量二维数组占用释放的内存块（大小0x30）<\/li> 伪造二维数组的第一维度长度为任意值<\/li> 利用堆块头部8字节错位，修改伪造数组的头4字节<\/li> 创建伪造的全局可读写数组（长度0x7ffffff）<\/li> 实现任意内存读写，进而执行shellcode<\/li> <\/ol> 三、漏洞检测技术<\/h2> 3.1 静态检测方法<\/h3> 关键检测特征：<\/p> Public Default Property Get<\/code>声明<\/li> Redim<\/code>或Redim Preserve<\/code>关键字<\/li> 动态数组的创建和修改操作<\/li> 类初始化中的数组操作<\/li> <\/ul> 注意<\/strong>：Initialize_Class<\/code>不是必要检测字段，攻击代码可能省略<\/p> 3.2 动态检测方法<\/h3> 建议Hook的关键函数：<\/p> vbscript!MakeArray<\/code>：数组创建<\/li> vbscript!RedimPreserveArray<\/code>：数组重分配<\/li> vbscript!AssignVar<\/code>：变量赋值<\/li> vbscript!AccessArray<\/code>：数组访问<\/li> <\/ul> 监控点：<\/p> 数组创建与释放的时序关系<\/li> 内存释放后又被使用的行为<\/li> 异常的数组维度修改操作<\/li> <\/ul> 3.3 高级检测技术<\/h3> 行为检测<\/strong>：<\/p> 检测堆喷射(Heap Spray)行为<\/li> 检测ROP链构造<\/li> 检测异常的全局读写操作<\/li> <\/ul> <\/li> 机器学习检测<\/strong>：<\/p> 基于VBScript代码特征的分类模型<\/li> 异常行为模式识别<\/li> <\/ul> <\/li> <\/ol> 四、防护建议<\/h2> 及时更新<\/strong>：安装微软提供的安全补丁<\/li> 禁用VBScript<\/strong>：在不需要的场景下禁用IE的VBScript支持<\/li> 深度防御<\/strong>：启用DEP(数据执行保护)<\/li> 启用ASLR(地址空间布局随机化)<\/li> 启用CFG(控制流防护)<\/li> <\/ul> <\/li> 监控措施<\/strong>：部署网络流量检测系统<\/li> 监控异常的脚本解释行为<\/li> <\/ul> <\/li> <\/ol> 五、技术验证POC分析<\/h2> 简化版漏洞触发代码结构：<\/p> Class MyClass Public Default Property Get P Redim array(2) End Property Private Sub Class_Initialize() Dim array() End Sub End Class Sub Trigger() Dim cls Set cls = New MyClass cls.array(2) = cls End Sub <\/code><\/pre> 关键点说明：<\/p> 通过Class_Initialize<\/code>初始化空数组<\/li> 使用Redim<\/code>在属性获取时重定义数组<\/li> 通过数组赋值操作触发UAF条件<\/li> <\/ul> 六、参考资料<\/h2> 微软官方VARIANT类型定义<\/li> Windows Kits头文件<\/li> 趋势科技原始漏洞报告<\/li> 看雪论坛相关技术分析文章<\/li> <\/ol> 注：本文仅限技术研究与防御用途，严禁用于非法活动<\/em><\/p>