嗅探文档中的WPS 0day漏洞气息

通过访问红雨滴云沙箱入口（https://sandbox.ti.qianxin.com/）使用沙箱进行辅助分析。

红雨滴云沙箱分析入口

在上传待分析文件后，可以手动设置沙箱分析参数：分析环境（操作系统）、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定，所以基本上以默认方式提交检测即可。

红雨滴云沙箱支持对WPS文档样本的检测分析，对于WPS文档，可以选择如下分析环境。

点击“开始分析”按钮后，会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。

上传分析完成后，通过概要信息可看到该样本的基本信息：包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分。注意到红雨滴云沙箱内置的RAS检测引擎打上了wps_equation的可疑标签，这表明该文档可能涉及到启动WPS的公式编辑器。

点击右侧导航栏的深度解析功能，在流文件信息中可以看到文档中包含公式编辑器OLE对象数据。

主机行为中的进程信息表明文档打开后，WPS的公式编辑器程序也被启动。

通过网络行为可以看到该文档的可疑网络通信行为，访问云服务域名，下载带有exe扩展名的后续载荷，而该云服务域名的解析IP是被公式编辑器进程访问。

以上种种可疑迹象表明该样本很可能使用了漏洞，为了探明究竟，我们对样本采取了进一步的分析。文档中存在一处外部链接，当文档打开后，加载该外部链接页面并执行其中的JS代码。

JS代码进一步下载两个PE文件，替换WPS安装目录中的原有组件”EqnEdit.exe”和”symsrv.dll”，这两个组件与公式编辑器相关。替换完成后，JS代码触发文档中的公式编辑器OLE对象，进而启动覆盖后的EqnEdit.exe文件。

下载的两个PE文件使用DLL白利用手法，恶意symsrv.dll载入后从云服务下载后续并执行。

对于前所未见的包含可疑标签的样本，奇安信威胁情报中心有7×24的分析团队做进一步的人工分析。经测试，该文档无需用户交互，使用WPS打开即可触发对上面外部链接的访问，并且在WPS 12.1.0.15355版本上可以成功执行，因此能够确认该文档利用了WPS的远程代码执行0day漏洞。奇安信威胁情报中心第一时间通知了厂商，目前WPS已发布针对该漏洞的紧急更新，建议相关用户尽快升级到最新版。

本次攻防演练中，奇安信的安全检测产品和服务不辱使命，EDR系统和情报沙箱及时发现了两例利用国产办公软件0day漏洞的攻击线索，结合经验丰富的人工分析确认，遵从负责任的漏洞披露原则尽快同步给厂商，有效缓解了漏洞的危害。

76z1xwz6mp5fq7qi4telphdn0c0.oss-cn-shenzhen.aliyuncs.com （云服务）

6e8t0xobdnmerpraecktu1bge1kmo1cs.oss-cn-shenzhen.aliyuncs.com （云服务）

IP:

123.57.150.145

39.105.128.11

47.93.247.53

123.56.0.10

39.105.138.249

182.92.111.169

红雨滴云沙箱已集成VirusTotal

并且，红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一，部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告^[1]。