恶意RTF文档分析与PyREbox工具使用教学<\/h1>

1. 攻击活动概述<\/h2>

思科Talos发现的新型恶意软件活动特点：<\/p>

不再使用"Agent Tesla"或"Loki信息窃取者"等常见木马<\/li>
使用修改后的攻击链绕过防病毒检测<\/li>

主要威胁能力：

窃取Chrome、Firefox、Outlook等软件的登录凭证<\/li>
屏幕截图捕获<\/li>
网络摄像头记录<\/li>

安装其他恶意软件<\/li> <\/ul> <\/li> <\/ul>

2. 技术分析流程<\/h2>

2.1 初始感染阶段<\/h3>

攻击链与FormBook恶意软件活动类似：<\/p>

利用CVE-2017-0199（Office远程执行代码漏洞）<\/li>
从恶意DOCX文件下载并打开RTF文档<\/li>

也观察到利用CVE-2017-11882分发Tesla和Loki代理<\/li> <\/ul>

示例恶意URL：<\/p>

hxxp:\/\/avast.dongguanmolds.com
hxxp:\/\/avast.aandagroupbd.website
<\/code><\/pre>
2.2 RTF文件分析<\/h3>
样本SHA256：<\/p>
cf193637626e85b34a7ccaed9e4459b75605af46cedc95325583b879990e0e61
<\/code><\/pre>
RTF文件特征：<\/p>

使用严重混淆的RTF结构<\/li>
包含\objupdate控制字，强制嵌入对象自动更新<\/li>
利用Microsoft公式编辑器(EQNEDT32.exe)漏洞<\/li>
<\/ul>
检测规避技术：<\/p>

修改MTEF头字段值（版本字段保持2或3）<\/li>
使用随机值填充其他头字段<\/li>
导致大多数AV仅标记为"格式错误"而非恶意<\/li>
<\/ul>
2.3 漏洞利用分析（CVE-2017-11882）<\/h3>
使用PyREbox进行动态分析：<\/p>


配置影子堆栈插件<\/strong>：<\/p>

监控公式编辑器进程(EQNEDT32.exe)<\/li>
跟踪所有CALL\/RET指令<\/li>
维护影子堆栈验证返回地址有效性<\/li>
<\/ul>
<\/li>

漏洞触发点<\/strong>：<\/p>

返回地址被覆盖到0x0044fd22（公式编辑器模块内）<\/li>
指向另一个RET指令，形成多阶段利用<\/li>
<\/ul>
<\/li>

Shellcode分析：<\/p>

第一阶段：调用GlobalLock函数<\/li>
第二阶段：包含jmp\/call指令和解密循环<\/li>
最终阶段：

解析kernel32导出表<\/li>
获取关键API（LoadLibrary, GetProcAddress等）<\/li>
下载并执行payload（xyz.123）<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ol>
2.4 Payload分析<\/h3>
样本特征：<\/p>
a8ac66acd22d1e194a05c09a3dc3d98a78ebcc2914312cdd647bc209498564d8
<\/code><\/pre>
分析步骤：<\/p>


初步检查<\/strong>：<\/p>

PE32可执行文件，.NET程序集<\/li>
使用Agile.Net混淆器进行混淆<\/li>
<\/ul>
<\/li>

反混淆处理<\/strong>：<\/p>

使用Megadumper从内存转储<\/li>
使用de4dot反混淆（指定字符串解密方法token 0x06000001）<\/li>
<\/ul>
<\/li>

功能分析<\/strong>：<\/p>

确认为Agent Tesla变种<\/li>
窃取功能：

25+种应用程序密码（浏览器、邮件客户端、FTP工具等）<\/li>
键盘记录<\/li>
剪贴板窃取<\/li>
屏幕截图<\/li>
网络摄像头访问<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

数据外传方式：<\/p>

HTTP POST（主要）<\/li>
SMTP\/FTP（配置可选）<\/li>
使用3DES加密（密钥来自字符串MD5哈希）<\/li>
<\/ul>
<\/li>
<\/ol>
3. 分析工具与技术<\/h2>
3.1 PyREbox高级用法<\/h3>


基本功能<\/strong>：<\/p>

全系统执行监控<\/li>
指令级跟踪<\/li>
内存访问监控<\/li>
交互式IPython shell<\/li>
<\/ul>
<\/li>

漏洞分析插件<\/strong>：<\/p>

影子堆栈：检测返回地址覆盖<\/li>
shellcode检测<\/li>
堆栈旋转检测<\/li>
<\/ul>
<\/li>

内存分析<\/strong>：<\/p>

集成Volatility框架<\/li>
VAD区域列举<\/li>
内存转储提取<\/li>
<\/ul>
<\/li>
<\/ol>
3.2 静态分析工具链<\/h3>


RTF分析<\/strong>：<\/p>

rtfdump\/rtfobj：验证结构，提取对象数据<\/li>
<\/ul>
<\/li>

.NET分析<\/strong>：<\/p>

dnSpy：反编译和调试<\/li>
Megadumper：内存转储<\/li>
de4dot：反混淆<\/li>
<\/ul>
<\/li>

行为分析<\/strong>：<\/p>

Threat Grid：行为指标(BI)分析<\/li>
进程树重建<\/li>
<\/ul>
<\/li>
<\/ol>
4. 防御建议<\/h2>


检测层面<\/strong>：<\/p>

部署高级威胁检测系统（如Threat Grid）<\/li>
监控公式编辑器异常行为（子进程创建等）<\/li>
<\/ul>
<\/li>

防护层面<\/strong>：<\/p>

及时修补CVE-2017-11882等Office漏洞<\/li>
禁用或更新公式编辑器组件<\/li>
<\/ul>
<\/li>

响应层面<\/strong>：<\/p>

收集并分析IOC（见附录）<\/li>
监控异常网络连接（外传数据）<\/li>
<\/ul>
<\/li>
<\/ol>
附录：IOC列表<\/h2>
恶意文档<\/h3>
cf193637626e85b34a7ccaed9e4459b75605af46cedc95325583b879990e0e61 - 3027748749.rtf
a8ac66acd22d1e194a05c09a3dc3d98a78ebcc2914312cdd647bc209498564d8 - xyz.123
38fa057674b5577e33cee537a0add3e4e26f83bc0806ace1d1021d5d110c8bb2 - Proforma_Invoice_AMC18.docx
4fa7299ba750e4db0a18001679b4a23abb210d4d8e6faf05ce2cbe2586aff23f - Proforma_Invoice_AMC19.docx
1dd34c9e89e5ce7a3740eedf05e74ef9aad1cd6ce7206365f5de78a150aa9398 - HSBC8117695310_doc
<\/code><\/pre>
相关域名<\/h3>
avast.dongguanmolds.com
avast.aandagroupbd.website
alphastand.top
alphastand.trade
alphastand.win
kbfvzoboss.bid
logs.biznetviigator.com
<\/code><\/pre>
Loki相关URL<\/h3>
hxxp:\/\/46.166.133.164\/0x22\/fre.php
hxxp:\/\/alphastand.top\/alien\/fre.php
hxxp:\/\/alphastand.trade\/alien\/fre.php
hxxp:\/\/alphastand.win\/alien\/fre.php
hxxp:\/\/kbfvzoboss.bid\/alien\/fre.php
hxxp:\/\/logs.biznetviigator.com\/0x22\/fre.php
<\/code><\/pre>

恶意RTF文档分析与PyREbox工具使用教学<\/h1>

2. 技术分析流程<\/h2>

3. 分析工具与技术<\/h2>

附录：IOC列表<\/h2>

Loki相关URL<\/h3> hxxp:\/\/46.166.133.164\/0x22\/fre.php hxxp:\/\/alphastand.top\/alien\/fre.php hxxp:\/\/alphastand.trade\/alien\/fre.php hxxp:\/\/alphastand.win\/alien\/fre.php hxxp:\/\/kbfvzoboss.bid\/alien\/fre.php hxxp:\/\/logs.biznetviigator.com\/0x22\/fre.php <\/code><\/pre>

Loki相关URL<\/h3>
`hxxp:\/\/46.166.133.164\/0x22\/fre.php hxxp:\/\/alphastand.top\/alien\/fre.php hxxp:\/\/alphastand.trade\/alien\/fre.php hxxp:\/\/alphastand.win\/alien\/fre.php hxxp:\/\/kbfvzoboss.bid\/alien\/fre.php hxxp:\/\/logs.biznetviigator.com\/0x22\/fre.php <\/code><\/pre>`