警惕!WinRAR漏洞利用升級:社工、加密、無文件后門 |
|||||||||||||||||||||||||||||||||
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2019-03-06 瀏覽次數(shù): | |||||||||||||||||||||||||||||||||
信息來源:FreeBuf
背景
|
MD5 | d7d30c2f26084c6cfe06bc21d7e813b1 |
---|---|
文件名 | 10802201010葉舒華.rar |
該惡意壓縮文件利用了WinRAR壓縮包內(nèi)圖片列表不可預(yù)覽的特性,誘導(dǎo)目標(biāo)大概率解壓文件從而觸發(fā)漏洞。當(dāng)受害者打開RAR壓縮包后可以看到很多圖片文件:
出于好奇,用戶一般會點擊打開其中的一張圖片查看:
如果受害者對圖片內(nèi)容很感興趣,但WinRAR又無法預(yù)覽所有圖片的情況下,則只好解壓該壓縮包,這樣漏洞則會被觸發(fā),極大的提高了攻擊成功率,解壓后的誘餌圖片列表:
漏洞觸發(fā)后,會在%AppData%\Microsoft\Windows\StartMenu\Programs\Startup目錄釋放OfficeUpdateService.exe,當(dāng)用戶重啟計算機或者注銷登錄后將執(zhí)行惡意代碼:
Backdoor(OfficeUpdateService.exe)
OfficeUpdateService.exe是使用C#編寫的遠控程序,其通信地址為conloap.linkin.tw:8080。其提供的功能大致有計算機管理(重啟/關(guān)閉)、文件管理(上傳/下載/遍歷)、遠程SHELL、木馬管理(安裝/卸載)、屏幕抓取、錄音等功能。
C&C地址為:conloap.linkin.tw:8080
多個類似樣本
此外,我們還捕獲到數(shù)個國外類似利用社會工程學(xué)和該漏洞結(jié)合的攻擊樣本。
MD5 | f8c9c16e0a639ce3b548d9a44a67c8c1 |
---|---|
文件名 | 111.rar |
解壓后的誘餌圖片列表:
MD5 | f9564c181505e3031655d21c77c924d7 |
---|---|
文件名 | test.rar |
解壓后的誘餌圖片列表:
目標(biāo)阿拉伯地區(qū):釋放“無文件”后門
MD5 | e26ae92a36e08cbaf1ce7d7e1f3d973e |
---|---|
文件名 | JobDetail.rar |
該樣本包含了一份工作地點位于沙特阿拉伯的招聘廣告PDF文檔(誘餌),如果用戶使用WinRAR解壓該文件并觸發(fā)漏洞后,WinRAR會釋放惡意腳本W(wǎng)ipolicy.vbe到用戶開機啟動目錄,最終的惡意代碼為PowerShell編寫的遠程控制程序,整個執(zhí)行過程全部在內(nèi)存中實現(xiàn),其通信地址為:hxxps://manage-shope.com:443。
該樣本包含一份工作招聘廣告,如下圖所示:
招聘廣告中工作地點位于沙特阿拉伯:
漏洞觸發(fā)后會在%AppData%\Microsoft\Windows\StartMenu\Programs\Startup目錄釋放Wipolicy.vbe:
Wipolicy.vbe分析
該樣本為加密的VBS腳本,解密后的部分腳本如下圖所示:
該VBS腳本將執(zhí)行一段PowerShell腳本,PowerShell腳本解密后如下圖:
該段PowerShell會下載hxxp://local-update.com/banana.png并利用圖片隱寫術(shù)解密出第二段PowerShell腳本,腳本部分內(nèi)容如下圖:
第二段PowerShell腳本將從hxxps://manage-shope.com:443下載第三段數(shù)據(jù)并利用AES解密為第三段PowerShell腳本,以下是第三段PowerShell部分腳本:
該PowerShell腳本包含了完整的遠程控制代碼,提供的功能有啟動多個CMD、上傳文件、下載文件、加載執(zhí)行模塊、執(zhí)行其他PowerShell腳本等功能,其通信地址為:hxxps://manage-shope.com:443
加密的ACE文件
MD5 | 65e6831bf0f3af34e19f25dfaef49823 |
---|---|
文件名 | Сбор информации для переезда в IQ-квартал.rar |
另外,我們還捕獲到了一個加密的惡意ACE文件,由于惡意文件使用密碼加密,故我們暫時無法得知最終釋放的惡意代碼內(nèi)容。不過可以發(fā)現(xiàn),攻擊者也在嘗試將惡意ACE文件進行加密來防止受害者以外的人員獲取其中的惡意代碼,具有較高的針對性和自我保護意識。
360威脅情報中心針對ACE文件的加解密過程進行了分析,過程如下:
首先,該惡意ACE樣本進行了加密,但是解壓時輸入錯誤密碼,仍然可以看到會解壓到對應(yīng)的啟動目錄下:
但該樣本實際上并沒有解壓成功:
于是我們分析了WinRAR在處理帶密碼的ACE數(shù)據(jù)的處理過程,WinRAR中UNACEV2.dll的加載入口如下:
對應(yīng)的函數(shù)如下,專門用于處理ACE的壓縮包文件:
86行的函數(shù)對應(yīng)解壓到當(dāng)前目錄的操作:
進入函數(shù)sub_1395F10,該函數(shù)第74行對應(yīng)了漏洞的入口點,運行之后對應(yīng)的目標(biāo)的釋放文件將被創(chuàng)建:
之后進入解壓邏輯,UNACEV2包含了自身的解壓邏輯,因此和WinRAR無關(guān),整個解壓寫入文件過程如下:
1.首先通過函數(shù)fun_Allocmemory分配一段用于存放解壓數(shù)據(jù)的內(nèi)存,其大小和解壓數(shù)據(jù)一致;
2.再通過函數(shù)fun_GetEncryptkey獲取用戶輸入的密鑰;
3.然后通過函數(shù)fun_DecryptCompress解壓對應(yīng)的數(shù)據(jù)到第一步分配的內(nèi)存中;
4.最后通過函數(shù)fun_EctraceoFile將內(nèi)存中的數(shù)據(jù)寫入到之前的文件中。
這樣就導(dǎo)致即使輸入了錯誤的密碼依然會將第一份分配的初始化內(nèi)存寫入到啟動目錄下:
我們創(chuàng)建了一個測試ACE文件,如下所示分配的內(nèi)存地址為0x0b4a0024:
獲取壓縮包的密鑰A1B2C3D4E5:
如下所示解壓出的對應(yīng)內(nèi)容:
當(dāng)輸入錯誤的密碼時,依然會寫入數(shù)據(jù),寫入的數(shù)據(jù)為亂碼:
總結(jié)
截止文章完成時,360威脅情報中心還陸續(xù)觀察到了多個利用此漏洞進行的APT攻擊活動。
事實證明,利用WinRAR漏洞(CVE-2018-20250)傳播惡意程序的攻擊行為正處在爆發(fā)的初期階段,并且不排除在將來被攻擊者用于制作蠕蟲類的病毒造成更廣泛的威脅。360威脅情報中心再次提醒各用戶及時做好漏洞防護措施。
緩解措施
1.軟件廠商已經(jīng)發(fā)布了最新的WinRAR版本,360威脅情報中心建議用戶及時更新升級WinRAR(5.70 beta 1)到最新版本,下載地址如下:
32位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe
64位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe
2.如暫時無法安裝補丁,可以直接刪除漏洞的DLL(UNACEV2.DLL),這樣不影響一般的使用,但是遇到ACE的文件會報錯。
目前,基于360威脅情報中心的威脅情報數(shù)據(jù)的全線產(chǎn)品,包括360威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統(tǒng)、360 NGSOC等,都已經(jīng)支持對此類攻擊的精確檢測。
IOC
惡意ACE文件MD5 |
---|
d7d30c2f26084c6cfe06bc21d7e813b1 |
f9564c181505e3031655d21c77c924d7 |
65e6831bf0f3af34e19f25dfaef49823 |
9cfb87f063ab3ea5c4f3934a23e1d6f9 |
f8c9c16e0a639ce3b548d9a44a67c8c1 |
e26ae92a36e08cbaf1ce7d7e1f3d973e |
木馬MD5 |
782791b7ac3daf9ab9761402f16fd407 |
惡意腳本MD5 |
ad121c941fb3f4773701323a146fb2cd |
C&C |
manage-shope.com:443 |
參考鏈接
[1].https://mp.weixin.qq.com/s/Hz-uN9VEejYN6IHFBtUSRQ(首個完整利用WinRAR漏洞傳播的惡意樣本分析)
[2].https://research.checkpoint.com/extracting-code-execution-from-winrar/
[3].https://twitter.com/360TIC/status/1099987939818299392
[4].https://ti.360.net/advisory/articles/360ti-sv-2019-0009-winrar-rce/