恶意RTF文档分析与PyREbox工具使用教学

1. 攻击活动概述

思科Talos发现的新型恶意软件活动特点：

不再使用"Agent Tesla"或"Loki信息窃取者"等常见木马
使用修改后的攻击链绕过防病毒检测
主要威胁能力：
- 窃取Chrome、Firefox、Outlook等软件的登录凭证
- 屏幕截图捕获
- 网络摄像头记录
- 安装其他恶意软件

2. 技术分析流程

2.1 初始感染阶段

攻击链与FormBook恶意软件活动类似：

利用CVE-2017-0199（Office远程执行代码漏洞）
从恶意DOCX文件下载并打开RTF文档
也观察到利用CVE-2017-11882分发Tesla和Loki代理

示例恶意URL：

hxxp://avast.dongguanmolds.com
hxxp://avast.aandagroupbd.website

2.2 RTF文件分析

样本SHA256：

cf193637626e85b34a7ccaed9e4459b75605af46cedc95325583b879990e0e61

RTF文件特征：

使用严重混淆的RTF结构
包含\objupdate控制字，强制嵌入对象自动更新
利用Microsoft公式编辑器(EQNEDT32.exe)漏洞

检测规避技术：

修改MTEF头字段值（版本字段保持2或3）
使用随机值填充其他头字段
导致大多数AV仅标记为"格式错误"而非恶意

2.3 漏洞利用分析（CVE-2017-11882）

使用PyREbox进行动态分析：

配置影子堆栈插件：
- 监控公式编辑器进程(EQNEDT32.exe)
- 跟踪所有CALL/RET指令
- 维护影子堆栈验证返回地址有效性
漏洞触发点：
- 返回地址被覆盖到0x0044fd22（公式编辑器模块内）
- 指向另一个RET指令，形成多阶段利用
Shellcode分析：
- 第一阶段：调用GlobalLock函数
- 第二阶段：包含jmp/call指令和解密循环
- 最终阶段：
  - 解析kernel32导出表
  - 获取关键API（LoadLibrary, GetProcAddress等）
  - 下载并执行payload（xyz.123）

2.4 Payload分析

样本特征：

a8ac66acd22d1e194a05c09a3dc3d98a78ebcc2914312cdd647bc209498564d8

分析步骤：

初步检查：
- PE32可执行文件，.NET程序集
- 使用Agile.Net混淆器进行混淆
反混淆处理：
- 使用Megadumper从内存转储
- 使用de4dot反混淆（指定字符串解密方法token 0x06000001）
功能分析：
- 确认为Agent Tesla变种
- 窃取功能：
  - 25+种应用程序密码（浏览器、邮件客户端、FTP工具等）
  - 键盘记录
  - 剪贴板窃取
  - 屏幕截图
  - 网络摄像头访问
数据外传方式：
- HTTP POST（主要）
- SMTP/FTP（配置可选）
- 使用3DES加密（密钥来自字符串MD5哈希）

3. 分析工具与技术

3.1 PyREbox高级用法

基本功能：
- 全系统执行监控
- 指令级跟踪
- 内存访问监控
- 交互式IPython shell
漏洞分析插件：
- 影子堆栈：检测返回地址覆盖
- shellcode检测
- 堆栈旋转检测
内存分析：
- 集成Volatility框架
- VAD区域列举
- 内存转储提取

3.2 静态分析工具链

RTF分析：
- rtfdump/rtfobj：验证结构，提取对象数据
.NET分析：
- dnSpy：反编译和调试
- Megadumper：内存转储
- de4dot：反混淆
行为分析：
- Threat Grid：行为指标(BI)分析
- 进程树重建

4. 防御建议

检测层面：
- 部署高级威胁检测系统（如Threat Grid）
- 监控公式编辑器异常行为（子进程创建等）
防护层面：
- 及时修补CVE-2017-11882等Office漏洞
- 禁用或更新公式编辑器组件
响应层面：
- 收集并分析IOC（见附录）
- 监控异常网络连接（外传数据）

附录：IOC列表

恶意文档

cf193637626e85b34a7ccaed9e4459b75605af46cedc95325583b879990e0e61 - 3027748749.rtf
a8ac66acd22d1e194a05c09a3dc3d98a78ebcc2914312cdd647bc209498564d8 - xyz.123
38fa057674b5577e33cee537a0add3e4e26f83bc0806ace1d1021d5d110c8bb2 - Proforma_Invoice_AMC18.docx
4fa7299ba750e4db0a18001679b4a23abb210d4d8e6faf05ce2cbe2586aff23f - Proforma_Invoice_AMC19.docx
1dd34c9e89e5ce7a3740eedf05e74ef9aad1cd6ce7206365f5de78a150aa9398 - HSBC8117695310_doc

Loki相关URL

hxxp://46.166.133.164/0x22/fre.php
hxxp://alphastand.top/alien/fre.php
hxxp://alphastand.trade/alien/fre.php
hxxp://alphastand.win/alien/fre.php
hxxp://kbfvzoboss.bid/alien/fre.php
hxxp://logs.biznetviigator.com/0x22/fre.php

恶意RTF文档分析与PyREbox工具使用教学 1. 攻击活动概述思科Talos发现的新型恶意软件活动特点：不再使用"Agent Tesla"或"Loki信息窃取者"等常见木马使用修改后的攻击链绕过防病毒检测主要威胁能力：窃取Chrome、Firefox、Outlook等软件的登录凭证屏幕截图捕获网络摄像头记录安装其他恶意软件 2. 技术分析流程 2.1 初始感染阶段攻击链与FormBook恶意软件活动类似：利用CVE-2017-0199（Office远程执行代码漏洞）从恶意DOCX文件下载并打开RTF文档也观察到利用CVE-2017-11882分发Tesla和Loki代理示例恶意URL： 2.2 RTF文件分析样本SHA256： RTF文件特征：使用严重混淆的RTF结构包含\objupdate控制字，强制嵌入对象自动更新利用Microsoft公式编辑器(EQNEDT32.exe)漏洞检测规避技术：修改MTEF头字段值（版本字段保持2或3）使用随机值填充其他头字段导致大多数AV仅标记为"格式错误"而非恶意 2.3 漏洞利用分析（CVE-2017-11882）使用PyREbox进行动态分析：配置影子堆栈插件：监控公式编辑器进程(EQNEDT32.exe) 跟踪所有CALL/RET指令维护影子堆栈验证返回地址有效性漏洞触发点：返回地址被覆盖到0x0044fd22（公式编辑器模块内）指向另一个RET指令，形成多阶段利用 Shellcode分析：第一阶段：调用GlobalLock函数第二阶段：包含jmp/call指令和解密循环最终阶段：解析kernel32导出表获取关键API（LoadLibrary, GetProcAddress等）下载并执行payload（xyz.123） 2.4 Payload分析样本特征：分析步骤：初步检查： PE32可执行文件，.NET程序集使用Agile.Net混淆器进行混淆反混淆处理：使用Megadumper从内存转储使用de4dot反混淆（指定字符串解密方法token 0x06000001）功能分析：确认为Agent Tesla变种窃取功能： 25+种应用程序密码（浏览器、邮件客户端、FTP工具等）键盘记录剪贴板窃取屏幕截图网络摄像头访问数据外传方式： HTTP POST（主要） SMTP/FTP（配置可选）使用3DES加密（密钥来自字符串MD5哈希） 3. 分析工具与技术 3.1 PyREbox高级用法基本功能：全系统执行监控指令级跟踪内存访问监控交互式IPython shell 漏洞分析插件：影子堆栈：检测返回地址覆盖 shellcode检测堆栈旋转检测内存分析：集成Volatility框架 VAD区域列举内存转储提取 3.2 静态分析工具链 RTF分析： rtfdump/rtfobj：验证结构，提取对象数据 .NET分析： dnSpy：反编译和调试 Megadumper：内存转储 de4dot：反混淆行为分析： Threat Grid：行为指标(BI)分析进程树重建 4. 防御建议检测层面：部署高级威胁检测系统（如Threat Grid）监控公式编辑器异常行为（子进程创建等）防护层面：及时修补CVE-2017-11882等Office漏洞禁用或更新公式编辑器组件响应层面：收集并分析IOC（见附录）监控异常网络连接（外传数据）附录：IOC列表恶意文档相关域名 Loki相关URL