一、概述
2022年5月27日 ， 我们发现有安全研究人员公开了一个新的Office漏洞 ， 称为Follina ， 由白俄罗斯的一个IP地址上传 。 该漏洞的原理是利用MicrosoftOffice将远程HTML页面作为OLE对象插入的功能 ， 文档打开后将访问远程HTML页面并执行其中的代码 ， 攻击者利用js代码将页面重定向 ， 使其通过"ms-msdt:"协议访问URL链接 ， 调用本地msdt.exe并传入攻击者构造好的参数 ， 最终执行任意PowerShell代码 。 值得注意的是 ， 该漏洞在宏被禁用的情况下仍可被利用,具有较大的安全隐患 。
6月初 ， 研究人员公开了一个针对乌克兰的攻击样本（7908d7095ed1cde36b7fd8f45966fc56f0b72ca131121fdb3f8397c0710100e1） ， 发现有组织使用CobaltStrikeBeacon恶意软件并利用该漏洞CVE-2022-30190对乌克兰国家组织进行了网络攻击 。 下面将对该漏洞的利用和此样本产生的流量进行分析 。
二、Follina漏洞利用
1.使用网上已公开的poc
https://github.com/chvancooten/follina[.]py
2.在当前目录下生成clickme.docx和www下exploit.html ， 并启动监听
pythonfollina.py-tdocx-mbinary-bwindowssystem32calc.exe-H127.0.0.1-P8080

文章图片
3.在word启动时可以看到“正在打开http://localhost:8080/exploit[.]html” ， 说明word和服务端建立连接成功 ， 弹出calc.exe ， 漏洞利用成功

文章图片
三、TLS加密流量分析
1.捕获的流量中检测到nod-update[.]it可疑域名 ， 每隔一段时间 ， Beacon会对nod-update[.]it发出A记录dns查询

文章图片
2.下图为样本通信时的流量 ， 使用TLS加密

文章图片
3.服务器已经不存活 ， 主机无法上线 ， TCP建立握手连接失败

文章图片
4.从流量导出的证书 ， 颁发者是CN=R3O=Let'sEncryptC=US ， 指纹是85fbc86f7a5411e6472b167c8016723a51cc090a ， R3的颁发机构为ISRGRootX1 ， 是一个免费的证书颁发机构 ， 由于免费证书申请不会经过严格的使用者身份验证 ， 较容易获取 ， 因此 ， 经常被黑客或恶意程序使用 。

文章图片

文章图片
5.观成瞰云(ENS)-加密威胁智能检测系统针对本次测试产生的加密流量进行检出 ， 从握手检测、域名检测、证书检测进行多模型分析 ， 综合评分为0.76 。

文章图片
四、总结
随着Follina漏洞的出现 ， 改变了以前要“钓鱼”就要想办法绕过office宏禁止机制的攻击方法 ， 取得了新的突破 ， 网络攻击的手段变得越来越多样化 ， 通信方式也变得隐蔽化和加密化 ， 这一趋势给流量检测带来了更高挑战 。 返回搜狐 ， 查看更多
【利用Follina漏洞网络攻击的加密流量分析】责任编辑：

• 金字塔是利用声音建造的？声波能使物体悬浮？或是外星高科技手段
• 电子商务|3D打印机有多强大？科学家曾利用3D打印技术打印出火箭喷射器
• 安全漏洞|又一新规发布：禁止美企向中企分享安全漏洞，鸿蒙迎来最佳发展机遇!
• |美国拒绝分享系统漏洞，中国打造首个桌面操作系统根社区应对
• 核心项目|日本研发利用台风发电技术
• 仿生学机器人再次升级，NASA欲利用新一代机器人进行生命探索
• 台风|日本研发利用台风发电技术
• 高通骁龙|薅羊毛遭秋后算账，微软大规模退款因漏洞低价购入的XGP会员
• 微软、英特尔警告：Win11/10/8.1 存在 MMIO 陈旧数据漏洞
• 全息投影技术也可以称之为虚拟成像技术是利用干涉和衍射原理记录并再现物体真实的三维图像的记...|全息投影和互动投影的异同，全息投影是互动投影的