我要评论7 月 30 日消息,网络安全公司 trustedsec 发布新的 specula 工具,可以将 outlook 变成 c2(命令与控制)信标,在 windows 生态中远程执行代码。
代码网注:c2 信标(beacon)是指 c2 代理回调在 c2 服务器上运行的侦听器的过程,它是一种恶意软件与 c2 (命令与控制) 服务器之间的定期通信方式(通信机制)。
当恶意软件感染目标系统后,它需要与控制服务器(c2 服务器)建立连接,以获取控制命令和更新;但是 c2 服务器不会持续发出命令,所以恶意软件就需要采取一定机制定期与 c2 服务器通信,并确认连接状态和获取新命令,这个过程可以通过 beacon (信标) 来进行。
本次曝光的 c2 框架工作原理是利用 2017 年 10 月修补的 outlook 安全功能绕过漏洞 cve-2017-11774,使用 webview 创建自定义 outlook 主页。
微软尽管已经修复了该漏洞,并移除了显示 outlook 主页的用户界面,但攻击者仍可利用 windows 注册表值创建恶意主页,即使在安装了最新 office 365 版本的系统上也能实现破解。
正如 trusted 解释的那样,specula 完全在 outlook 的情境中运行,它的工作原理是通过注册表键值设置自定义 outlook 主页,然后调用交互式 python 网络服务器。
非特权威胁行为者可以访问以下路径:
hkey_current_user\software\microsoft\office\16.0\outlook\webview
在该路径下的 outlook webview 注册表项中设置一个 url 目标,将其指向一个受其控制的外部网站。
由攻击者控制的 outlook 主页可提供自定义 vbscript 文件,攻击者可利用这些文件在受攻击的 windows 系统上执行任意命令。
发表评论