警惕!WinRAR漏洞利用升級:社工、加密、無檔案後門
2019年2月22日,360威脅情報中心截獲了首個利用WinRAR漏洞(CVE-2018-20250)傳播木馬程式的惡意ACE檔案。並提醒使用者務必對此高危漏洞做好十足的防護措施。
正如我們的預測,在接下來的幾天內,360威脅情報中心截獲了多個使用WinRAR漏洞傳播惡意程式的樣本,並且我們還觀察到了多個利用此漏洞進行的APT攻擊活動。可以明顯的看到,攻擊者針對該漏洞利用做了更精心的準備,比如利用WinRAR壓縮包內圖片列表不可預覽來誘導目標極大概率解壓惡意檔案、將惡意ACE檔案加密後投遞、釋放“無檔案”後門等。
事實證明,利用該漏洞傳播惡意程式的攻擊行為正處在爆發的初期階段,並且不排除在將來被攻擊者用於製作蠕蟲類的病毒造成更廣泛的威脅。360威脅情報中心再次提醒各使用者及時做好漏洞防護措施。(見“緩解措施”一節)
樣本分析
360威脅情報中心針對最具代表性的幾類樣本進行了分析,相關分析如下。
利用圖片列表誘導解壓:
MD5 | d7d30c2f26084c6cfe06bc21d7e813b1 |
---|---|
檔名 | 10802201010葉舒華.rar |
該惡意壓縮檔案利用了WinRAR壓縮包內圖片列表不可預覽的特性,誘導目標大概率解壓檔案從而觸發漏洞。當受害者開啟RAR壓縮包後可以看到很多圖片檔案:
出於好奇,使用者一般會點選開啟其中的一張圖片檢視:
如果受害者對圖片內容很感興趣,但WinRAR又無法預覽所有圖片的情況下,則只好解壓該壓縮包,這樣漏洞則會被觸發,極大的提高了攻擊成功率,解壓後的誘餌圖片列表:
漏洞觸發後,會在%AppData%\Microsoft\Windows\StartMenu\Programs\Startup目錄釋放OfficeUpdateService.exe,當用戶重啟計算機或者登出登入後將執行惡意程式碼:
Backdoor(OfficeUpdateService.exe)
OfficeUpdateService.exe是使用C#編寫的遠控程式,其通訊地址為conloap.linkin.tw:8080。其提供的功能大致有計算機管理(重啟/關閉)、檔案管理(上傳/下載/遍歷)、遠端SHELL、木馬管理(安裝/解除安裝)、螢幕抓取、錄音等功能。
C&C地址為:conloap.linkin.tw:8080
多個類似樣本
此外,我們還捕獲到數個國外類似利用社會工程學和該漏洞結合的攻擊樣本。
MD5 | f8c9c16e0a639ce3b548d9a44a67c8c1 |
---|---|
檔名 | 111.rar |
解壓後的誘餌圖片列表:
MD5 | f9564c181505e3031655d21c77c924d7 |
---|---|
檔名 | test.rar |
解壓後的誘餌圖片列表:
目標阿拉伯地區:釋放“無檔案”後門
MD5 | e26ae92a36e08cbaf1ce7d7e1f3d973e |
---|---|
檔名 | JobDetail.rar |
該樣本包含了一份工作地點位於沙烏地阿拉伯的招聘廣告PDF文件(誘餌),如果使用者使用WinRAR解壓該檔案並觸發漏洞後,WinRAR會釋放惡意指令碼Wipolicy.vbe到使用者開機啟動目錄,最終的惡意程式碼為PowerShell編寫的遠端控制程式,整個執行過程全部在記憶體中實現,其通訊地址為:hxxps://manage-shope.com:443。
該樣本包含一份工作招聘廣告,如下圖所示:
招聘廣告中工作地點位於沙烏地阿拉伯:
漏洞觸發後會在%AppData%\Microsoft\Windows\StartMenu\Programs\Startup目錄釋放Wipolicy.vbe:
Wipolicy.vbe分析
該樣本為加密的VBS指令碼,解密後的部分指令碼如下圖所示:
該VBS指令碼將執行一段PowerShell指令碼,PowerShell指令碼解密後如下圖:
該段PowerShell會下載hxxp://local-update.com/banana.png並利用圖片隱寫術解密出第二段PowerShell指令碼,指令碼部分內容如下圖:
第二段PowerShell指令碼將從hxxps://manage-shope.com:443下載第三段資料並利用AES解密為第三段PowerShell指令碼,以下是第三段PowerShell部分指令碼:
該PowerShell指令碼包含了完整的遠端控制程式碼,提供的功能有啟動多個CMD、上傳檔案、下載檔案、載入執行模組、執行其他PowerShell指令碼等功能,其通訊地址為:hxxps://manage-shope.com:443
加密的ACE檔案
MD5 | 65e6831bf0f3af34e19f25dfaef49823 |
---|---|
檔名 | Сбор информации для переезда в IQ-квартал.rar |
另外,我們還捕獲到了一個加密的惡意ACE檔案,由於惡意檔案使用密碼加密,故我們暫時無法得知最終釋放的惡意程式碼內容。不過可以發現,攻擊者也在嘗試將惡意ACE檔案進行加密來防止受害者以外的人員獲取其中的惡意程式碼,具有較高的針對性和自我保護意識。
360威脅情報中心針對ACE檔案的加解密過程進行了分析,過程如下:
首先,該惡意ACE樣本進行了加密,但是解壓時輸入錯誤密碼,仍然可以看到會解壓到對應的啟動目錄下:
但該樣本實際上並沒有解壓成功:
於是我們分析了WinRAR在處理帶密碼的ACE資料的處理過程,WinRAR中UNACEV2.dll的載入入口如下:
對應的函式如下,專門用於處理ACE的壓縮包檔案:
86行的函式對應解壓到當前目錄的操作:
進入函式sub_1395F10,該函式第74行對應了漏洞的入口點,執行之後對應的目標的釋放檔案將被建立:
之後進入解壓邏輯,UNACEV2包含了自身的解壓邏輯,因此和WinRAR無關,整個解壓寫入檔案過程如下:
1.首先通過函式fun_Allocmemory分配一段用於存放解壓資料的記憶體,其大小和解壓資料一致; 2.再通過函式fun_GetEncryptkey獲取使用者輸入的金鑰; 3.然後通過函式fun_DecryptCompress解壓對應的資料到第一步分配的記憶體中; 4.最後通過函式fun_EctraceoFile將記憶體中的資料寫入到之前的檔案中。
這樣就導致即使輸入了錯誤的密碼依然會將第一份分配的初始化記憶體寫入到啟動目錄下:
我們建立了一個測試ACE檔案,如下所示分配的記憶體地址為0x0b4a0024:
獲取壓縮包的金鑰A1B2C3D4E5:
如下所示解壓出的對應內容:
當輸入錯誤的密碼時,依然會寫入資料,寫入的資料為亂碼:
總結
截止文章完成時,360威脅情報中心還陸續觀察到了多個利用此漏洞進行的APT攻擊活動。
事實證明,利用WinRAR漏洞(CVE-2018-20250)傳播惡意程式的攻擊行為正處在爆發的初期階段,並且不排除在將來被攻擊者用於製作蠕蟲類的病毒造成更廣泛的威脅。360威脅情報中心再次提醒各使用者及時做好漏洞防護措施。
緩解措施
1.軟體廠商已經發布了最新的WinRAR版本,360威脅情報中心建議使用者及時更新升級WinRAR(5.70 beta 1)到最新版本,下載地址如下:
32位: http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe
64位: http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe
2.如暫時無法安裝補丁,可以直接刪除漏洞的DLL(UNACEV2.DLL),這樣不影響一般的使用,但是遇到ACE的檔案會報錯。
目前,基於360威脅情報中心的威脅情報資料的全線產品,包括360威脅情報平臺(TIP)、天擎、天眼高階威脅檢測系統、360 NGSOC等,都已經支援對此類攻擊的精確檢測。
IOC
惡意ACE 檔案MD5 |
---|
d7d30c2f26084c6cfe06bc21d7e813b1 |
f9564c181505e3031655d21c77c924d7 |
65e6831bf0f3af34e19f25dfaef49823 |
9cfb87f063ab3ea5c4f3934a23e1d6f9 |
f8c9c16e0a639ce3b548d9a44a67c8c1 |
e26ae92a36e08cbaf1ce7d7e1f3d973e |
木馬MD5 |
782791b7ac3daf9ab9761402f16fd407 |
惡意指令碼MD5 |
ad121c941fb3f4773701323a146fb2cd |
C&C |
manage-shope.com:443 |
參考連結
[1]. https://mp.weixin.qq.com/s/Hz-uN9VEejYN6IHFBtUSRQ (首個完整利用WinRAR漏洞傳播的惡意樣本分析)
[2]. https://research.checkpoint.com/extracting-code-execution-from-winrar/
[3]. https://twitter.com/360TIC/status/1099987939818299392
[4]. https://ti.360.net/advisory/articles/360ti-sv-2019-0009-winrar-rce/
*本文作者:360天眼實驗室,轉載請註明來自FreeBuf.COM