安全動態(tài)

警惕!WinRAR漏洞利用升級:社工、加密、無文件后門

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-03-06    瀏覽次數(shù):
 

信息來源:FreeBuf

背景

2019年2月22日,360威脅情報中心截獲了首個利用WinRAR漏洞(CVE-2018-20250)傳播木馬程序的惡意ACE文件。并提醒用戶務(wù)必對此高危漏洞做好十足的防護措施。

正如我們的預(yù)測,在接下來的幾天內(nèi),360威脅情報中心截獲了多個使用WinRAR漏洞傳播惡意程序的樣本,并且我們還觀察到了多個利用此漏洞進行的APT攻擊活動。可以明顯的看到,攻擊者針對該漏洞利用做了更精心的準(zhǔn)備,比如利用WinRAR壓縮包內(nèi)圖片列表不可預(yù)覽來誘導(dǎo)目標(biāo)極大概率解壓惡意文件、將惡意ACE文件加密后投遞、釋放“無文件”后門等。

事實證明,利用該漏洞傳播惡意程序的攻擊行為正處在爆發(fā)的初期階段,并且不排除在將來被攻擊者用于制作蠕蟲類的病毒造成更廣泛的威脅。360威脅情報中心再次提醒各用戶及時做好漏洞防護措施。(見“緩解措施”一節(jié))

樣本分析

360威脅情報中心針對最具代表性的幾類樣本進行了分析,相關(guān)分析如下。

利用圖片列表誘導(dǎo)解壓:

MD5 d7d30c2f26084c6cfe06bc21d7e813b1
文件名 10802201010葉舒華.rar

該惡意壓縮文件利用了WinRAR壓縮包內(nèi)圖片列表不可預(yù)覽的特性,誘導(dǎo)目標(biāo)大概率解壓文件從而觸發(fā)漏洞。當(dāng)受害者打開RAR壓縮包后可以看到很多圖片文件:

image.png

出于好奇,用戶一般會點擊打開其中的一張圖片查看:

image.png

如果受害者對圖片內(nèi)容很感興趣,但WinRAR又無法預(yù)覽所有圖片的情況下,則只好解壓該壓縮包,這樣漏洞則會被觸發(fā),極大的提高了攻擊成功率,解壓后的誘餌圖片列表:

image.png

漏洞觸發(fā)后,會在%AppData%\Microsoft\Windows\StartMenu\Programs\Startup目錄釋放OfficeUpdateService.exe,當(dāng)用戶重啟計算機或者注銷登錄后將執(zhí)行惡意代碼:

image.png

Backdoor(OfficeUpdateService.exe)

OfficeUpdateService.exe是使用C#編寫的遠控程序,其通信地址為conloap.linkin.tw:8080。其提供的功能大致有計算機管理(重啟/關(guān)閉)、文件管理(上傳/下載/遍歷)、遠程SHELL、木馬管理(安裝/卸載)、屏幕抓取、錄音等功能。

image.png

image.png

C&C地址為:conloap.linkin.tw:8080

image.png

多個類似樣本

此外,我們還捕獲到數(shù)個國外類似利用社會工程學(xué)和該漏洞結(jié)合的攻擊樣本。

MD5 f8c9c16e0a639ce3b548d9a44a67c8c1
文件名 111.rar

解壓后的誘餌圖片列表:

image.png

MD5 f9564c181505e3031655d21c77c924d7
文件名 test.rar

解壓后的誘餌圖片列表:

image.png

目標(biāo)阿拉伯地區(qū):釋放“無文件”后門

MD5 e26ae92a36e08cbaf1ce7d7e1f3d973e
文件名 JobDetail.rar

該樣本包含了一份工作地點位于沙特阿拉伯的招聘廣告PDF文檔(誘餌),如果用戶使用WinRAR解壓該文件并觸發(fā)漏洞后,WinRAR會釋放惡意腳本W(wǎng)ipolicy.vbe到用戶開機啟動目錄,最終的惡意代碼為PowerShell編寫的遠程控制程序,整個執(zhí)行過程全部在內(nèi)存中實現(xiàn),其通信地址為:hxxps://manage-shope.com:443。

該樣本包含一份工作招聘廣告,如下圖所示:

image.png

招聘廣告中工作地點位于沙特阿拉伯:

image.png

漏洞觸發(fā)后會在%AppData%\Microsoft\Windows\StartMenu\Programs\Startup目錄釋放Wipolicy.vbe:

image.png

Wipolicy.vbe分析

該樣本為加密的VBS腳本,解密后的部分腳本如下圖所示:

image.png

該VBS腳本將執(zhí)行一段PowerShell腳本,PowerShell腳本解密后如下圖:

image.png

該段PowerShell會下載hxxp://local-update.com/banana.png并利用圖片隱寫術(shù)解密出第二段PowerShell腳本,腳本部分內(nèi)容如下圖:

image.png

第二段PowerShell腳本將從hxxps://manage-shope.com:443下載第三段數(shù)據(jù)并利用AES解密為第三段PowerShell腳本,以下是第三段PowerShell部分腳本:

image.png

該PowerShell腳本包含了完整的遠程控制代碼,提供的功能有啟動多個CMD、上傳文件、下載文件、加載執(zhí)行模塊、執(zhí)行其他PowerShell腳本等功能,其通信地址為:hxxps://manage-shope.com:443

加密的ACE文件

MD5 65e6831bf0f3af34e19f25dfaef49823
文件名 Сбор информации для переезда в IQ-квартал.rar

另外,我們還捕獲到了一個加密的惡意ACE文件,由于惡意文件使用密碼加密,故我們暫時無法得知最終釋放的惡意代碼內(nèi)容。不過可以發(fā)現(xiàn),攻擊者也在嘗試將惡意ACE文件進行加密來防止受害者以外的人員獲取其中的惡意代碼,具有較高的針對性和自我保護意識。

360威脅情報中心針對ACE文件的加解密過程進行了分析,過程如下:

首先,該惡意ACE樣本進行了加密,但是解壓時輸入錯誤密碼,仍然可以看到會解壓到對應(yīng)的啟動目錄下:

image.png

但該樣本實際上并沒有解壓成功:

image.png

于是我們分析了WinRAR在處理帶密碼的ACE數(shù)據(jù)的處理過程,WinRAR中UNACEV2.dll的加載入口如下:

image.png

對應(yīng)的函數(shù)如下,專門用于處理ACE的壓縮包文件:

image.png

86行的函數(shù)對應(yīng)解壓到當(dāng)前目錄的操作:

image.png

進入函數(shù)sub_1395F10,該函數(shù)第74行對應(yīng)了漏洞的入口點,運行之后對應(yīng)的目標(biāo)的釋放文件將被創(chuàng)建:

image.png

之后進入解壓邏輯,UNACEV2包含了自身的解壓邏輯,因此和WinRAR無關(guān),整個解壓寫入文件過程如下:

1.首先通過函數(shù)fun_Allocmemory分配一段用于存放解壓數(shù)據(jù)的內(nèi)存,其大小和解壓數(shù)據(jù)一致;

2.再通過函數(shù)fun_GetEncryptkey獲取用戶輸入的密鑰;

3.然后通過函數(shù)fun_DecryptCompress解壓對應(yīng)的數(shù)據(jù)到第一步分配的內(nèi)存中;

4.最后通過函數(shù)fun_EctraceoFile將內(nèi)存中的數(shù)據(jù)寫入到之前的文件中。

這樣就導(dǎo)致即使輸入了錯誤的密碼依然會將第一份分配的初始化內(nèi)存寫入到啟動目錄下:

image.png

我們創(chuàng)建了一個測試ACE文件,如下所示分配的內(nèi)存地址為0x0b4a0024:

image.png

獲取壓縮包的密鑰A1B2C3D4E5:

image.png

如下所示解壓出的對應(yīng)內(nèi)容:

image.png

當(dāng)輸入錯誤的密碼時,依然會寫入數(shù)據(jù),寫入的數(shù)據(jù)為亂碼:

image.png

總結(jié)

截止文章完成時,360威脅情報中心還陸續(xù)觀察到了多個利用此漏洞進行的APT攻擊活動。

事實證明,利用WinRAR漏洞(CVE-2018-20250)傳播惡意程序的攻擊行為正處在爆發(fā)的初期階段,并且不排除在將來被攻擊者用于制作蠕蟲類的病毒造成更廣泛的威脅。360威脅情報中心再次提醒各用戶及時做好漏洞防護措施。

緩解措施

1.軟件廠商已經(jīng)發(fā)布了最新的WinRAR版本,360威脅情報中心建議用戶及時更新升級WinRAR(5.70 beta 1)到最新版本,下載地址如下:

32位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2.如暫時無法安裝補丁,可以直接刪除漏洞的DLL(UNACEV2.DLL),這樣不影響一般的使用,但是遇到ACE的文件會報錯。

目前,基于360威脅情報中心的威脅情報數(shù)據(jù)的全線產(chǎn)品,包括360威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統(tǒng)、360 NGSOC等,都已經(jīng)支持對此類攻擊的精確檢測。

IOC

惡意ACE文件MD5
d7d30c2f26084c6cfe06bc21d7e813b1
f9564c181505e3031655d21c77c924d7
65e6831bf0f3af34e19f25dfaef49823
9cfb87f063ab3ea5c4f3934a23e1d6f9
f8c9c16e0a639ce3b548d9a44a67c8c1
e26ae92a36e08cbaf1ce7d7e1f3d973e
木馬MD5
782791b7ac3daf9ab9761402f16fd407
惡意腳本MD5
ad121c941fb3f4773701323a146fb2cd
C&C
manage-shope.com:443

參考鏈接

[1].https://mp.weixin.qq.com/s/Hz-uN9VEejYN6IHFBtUSRQ(首個完整利用WinRAR漏洞傳播的惡意樣本分析)

[2].https://research.checkpoint.com/extracting-code-execution-from-winrar/

[3].https://twitter.com/360TIC/status/1099987939818299392

[4].https://ti.360.net/advisory/articles/360ti-sv-2019-0009-winrar-rce/

 
 

上一篇:IBM 研究:訪客管理系統(tǒng)存在漏洞 黑客可潛入敏感區(qū)域

下一篇:2019年03月06日 聚銘安全速遞