Confluence CVE-2023-22515漏洞复现

样本地址：https://app.any.run/tasks/2cb3412f-cc9e-4164-8f9d-28aba9e6d681/
x86 C++编写

该样本是个释放器，用于释放Dropbox的c2

首先搜索当前进程所在路径下的doc、xls、pdf。后缀文件，这三个后缀文件如果搜索到一个则打开

然后休眠2秒

在C:\Users\Public释放名为spools.exe，最后执行

火绒剑动态监控：

Dropbox c2分析
沙盒执行：https://app.any.run/tasks/84bc039c-cefa-4369-b4ba-3ed1a254eb2c
注册一个窗口类调用sub_404F30函数

该函数调用CreateThread创建线程执行

首先检查开机到现在启动的时间，如果该时间小于192000毫秒。则休眠102毫秒
然后获取计算机配置构造出要发送的json，进入死循环

构造请求的json

v72+GetLocalTime最终拼接出来的json

IE请求构造

在dropbox在给定的路径上创建一个文件夹

获取远程的文件夹内容，获取后写入到C:\Users\Public\下的一个文件

然后下面上传了一个文件，这里没分析出来是上传了什么

最后远程下载要执行的命令写入到txt，执行完成后上传。最后删除下载的文件

最后休眠102毫秒

IOC
释放器:0ee449ccbe2e7f413be85b627ca198ba
spools.exe md5:b6824c8cb1594e48a8f63d25066e1dde

---

转载请注明来源，欢迎对文章中的引用来源进行考证，欢迎指出任何有错误或不够清晰的表达。