一、概述
最近微软的msc格式文件被曝存在漏洞,可以执行恶意代码。说是可以绕过ActivsX空间告警,以后将会替代lnk、offcie宏文档等成为攻击者最常用的钓鱼诱饵。
我们一起逆向三个msc样本,看这类样本要如何分析。
二、msc运行VB代码弹出计算器
最近推特上的安全研究员Samir贴出了一个关于msc诱饵的样本,github地址为:https://gist.github.com/joe-desimone/2b0bbee382c9bdfcac53f2349a379fa4
在Samir提供的msc样本中有两处关键位置如下:
其中的xsl.loadXML(unescape(“ ”)会解析出一个xml文件,里面包含运行计算机的代码,实际行为是弹出一个计算器,解析后代码如下图所示: