8月21号下午，微步云沙箱S 检测团队在日常对可疑样本进行分析的过程中，发现了几个“可疑”的WPS文档。其一如下：

疑点一：样本是个WPS文档，但产生了非WPS程序相关的网络行为，大概率存在漏洞利用的行为（在不包含宏等情况的前提下）。

进一步分析后，检测团队发现，其在访问两个链接之后会从远程下载两个可执行文件，且下载链接伪装成json结尾，十分异常。

疑点二：从文件行为角度看，云沙箱S捕获到该样本在特定目录下创建了两个可执行文件，这个行为对一个文档来说很不寻常。进一步分析发现，创建的文件和从远程下载的伪装成json文件的可执行文件哈希相同，且两个文件利用了白加黑DLL劫持的技术手法，嫌疑十足。

再分析恶意DLL，发现其加了UPX壳，包含一个无效的可疑证书。

执行起来后会从阿*云对象存储下载下一阶段的载荷并执行，最终通过C2来控制受害主机。

经过漏洞团队的验证，我们确认，这是一次真实的未知漏洞攻击。验证后，沙箱检测团队快速补充了静态检测规则，检出如下：

WPS文档已成为攻击最常用的载体之一，今年，微步云沙箱S特意上线了WPS静态检测和动态分析功能，目前已具备一定的对WPS已知/未知漏洞的检测发现能力。微步沙箱分析平台OneSandbox 也已具备相同的未知漏洞分析能力。

访问https://s.threatbook.com（或点击文末“阅读原文”），上传WPS文档，S会自动识别文档格式并选择分析环境，然后等待几分钟即可。

戳“阅读原文”，直通微步云沙箱S

↙↙↙