导语
这个故事要从一次垃圾邮件攻击事件说起,下图是一个笔者从某封垃圾邮件里提取的可疑附件。至于下面这蹩脚的英语,这也是值得我们注意的地方。
上图的附件使用了“.doc”作为后缀,但它其实是RTF(富文本)格式的文件。该文件包含了一个针对性的RTF栈溢出exp,它利用了CVE-2010-3333,也就是在微软Word RTF解析器在处理pFragments时会产生的一个漏洞。然而,该漏洞在五年前就已经修补了。
正如你在上图中看到的那样,该exp和shellcode做了混淆来逃避杀软的检测。经过各种提取整理解密之后,笔者发现该shellcode会从volafile.io上面下载文件来执行。