Предупреждение! Обновление использавания WinRAR с помощью социальной инженерии и шифрования

03 Мар. 2019 г.kate
Подробнее о 360 Total Security

Фон

22 февраля Центр разведки угроз 360 захватил первый архив ACE [1], распространяющий вредоносное ПО в дикой природе, используя уязвимость WinRAR (CVE-2018-20250). В то же время мы также напомнили пользователям предпринимать действия по устранению этой уязвимости высокого риска.

Как мы предполагали, в следующие дни мы собрали несколько образцов,используя эту уязвимость, а также наблюдали некоторые связанные атаки APT. Очевидно, что злоумышленники используют эту уязвимость более тонким способом. Например, они встраивают множество изображений и заманивают распаковать, поскольку изображения нельзя предварительно просмотрены в сжатом архиве, излоумышленники зашифровают вредоносный файл ACE перед доставкой и так далее.

Можно видеть, что атаки, использующие эту уязвимость, находятся на ранних стадиях вспышки, многие другие вредоносные программы, включая черви, могут быть встроены в качестве полезной нагрузки в будущем, что приведет к большему ущербу. Центр разведки угроз 360 еще раз напоминает пользователям о необходимости принятия своевременных и эффективных мер, и более подробных информацией написано в разделе «Методы смягчения последствий».

Анализ образцов

Центр разведки угроз 360 исследовал некоторые репрезентативные образцы и представил соответствующий анализ ниже.

Вызвать декомпрессию с помощью файлов изображений

Анализ образцовПоскольку изображения внутри архива WinRAR не могут быть предварительно просмотрены, злоумышленники помещают внутрь большое количество файлов изображений и заманивают жертву распаковать архив, чтобы вызвать уязвимость. Когда жертвы открывают архив RAR, они могут видеть много файлов изображений.  изображения внутри архива WinRAR

Вероятно, они могут щелкнуть одно из изображений ради любопытства:Образец изображения

Если жертва заинтересована в изображении, они, вероятно, распакуют архив, поскольку все изображения не могут быть просмотрены в WinRAR. Это значительно увеличивает шансы на запуск уязвимости. Ниже приведен пример распакованных изображений:

пример распакованных изображений

После запуска уязвимости файл OfficeUpdateService.exe будет выпущен в каталог «% AppData% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup» и будет выполнен при повторном входе пользователя в систему или перезагрузке компьютера.

OfficeUpdateService.exe

Бэкдор (OfficeUpdateService.exe)

OfficeUpdateService.exe — это бэкдор удаленного управления, написанный на C #, который содержит такие функции, как управление компьютером (перезагрузка / выключение), управление файлами (загрузка / выгрузка / Обход), удаленная оболочка, управление троянскими программами (установка / удаление), захват экрана, запись , так далее.

OfficeUpdateService.exe

OfficeUpdateService.exe

Адрес C & C: conloap.linkin.tw:8080

C&C address: conloap.linkin.tw:8080

Похожие образцы

Кроме того, мы также сняли несколько похожих образцов.

Похожие образцы

Распакованные файлы изображений:

Распакованные файлы изображений

Распакованные файлы изображений

Распакованные файлы изображений:

Распакованные файлы изображений:

Бэкдор без файлов, ориентированный на арабский регион

Бэкдор без файлов

Образец содержит документ приманки в формате PDF о возможностях трудоустройства в Саудовской Аравии. WinRAR извлечет вредоносный скрипт (Wipolicy.vbe) в папку автозагрузки, если сработает уязвимость. Последняя полезная нагрузка — это бэкдор PowerShell (C2: hxxps: //manage-shope.com: 443), который выполняется непосредственно в памяти.

документ приманки в формате PDF

Деталь документа PDF:

Деталь документа PDF

Файл Wipolicy.vbe извлекается в папку «%AppData%\Microsoft\Windows\Start Menu\Programs\Startup »

Файл Wipolicy.vbe

Wipolicy.vbe

Это зашифрованный сценарий VBS, и часть расшифрованного кода показана ниже:

зашифрованный сценарий VBS

Сценарий VBS выполнит сценарий PowerShell после расшифровки.

Сценарий VBS

Изображение PNG, загруженное с hxxp: //local-update.com/banana.png, содержит скрытые данные и будет использовано для формирования сценария PowerShell для фазы 2, как показано ниже:

Изображение PNG

Сценарий PowerShell для фазы 2 загружает дополнительные двоичные файлы с сайта hxxps: //manage-shope.com: 443 и расшифровывает сценарий PowerShell для фазы 3 через AES. Ниже приведен пример сценария Фазы 3:

 PowerShell для фазы 3

Скрипт является бэкдором и подключается к hxxps: //manage-shope.com: 443 для удаленных команд. Используя бэкдор, злоумышленники могут создавать удаленную оболочку, загружать / скачивать файлы, загружать дополнительные модули, выполнять другие сценарии PowerShell и т. Д.

Зашифрованный архив ACE

Зашифрованный архив ACE

Помимо приведенных выше результатов, мы захватили еще один архив ACE, защищенный паролем. Вредоносное ПО (wincon.exe) не выяснено подробно, поскольку оно защищено паролем, но ясно, что образец будет извлечен в папку автозагрузки, если указан неверный ключ:

архив ACE

Исполняемый файл содержит только нули, так как пароль неверный:Исполняемый файл

Заключение

Центр разведки угроз 360 обнаружил атаки APT с использованием этой уязвимости в процессе написания этой статьи, что также указывает на то, что она находится на ранних стадиях вспышки. Многие другие вредоносные программы, в том числе черви, могут быть встроены в качестве полезной нагрузки в будущем, что приведет к большему ущербу. Мы хотели бы еще раз напомнить пользователям о необходимости своевременных и эффективных мер против предстоящих атак.

Подходы к смягчению

  1. Поставщик программного обеспечения выпустил последнюю версию WinRAR, и мы рекомендуем пользователям обновить версию до последней версии (WinRAR 5.70 beta 1).

32 бита: http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 бита: http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

  1. Если исправление не может быть установлено в данный момент, вы можете напрямую удалить уязвимую DLL (UNACEV2.DLL). Это не влияет на нормальное использование, а просто сообщает об ошибке при обнаружении архивов ACE.

Продукты 360 ESG могут защитить пользователей от этих новых атак, в том числе 360 Threat Intelligence Platform, SkyEye APT Detection и 360 NGSOC.

IOCIOC

Ссылка

  1. https://mp.weixin.qq.com/s/Hz-uN9VEejYN6IHFBtUSRQ
  2. https://research.checkpoint.com/extracting-code-execution-from-winrar/
  3. https://twitter.com/360TIC/status/1099987939818299392
  4. https://ti.360.net/advisory/articles/360ti-sv-2019-0009-winrar-rce/
Подробнее о 360 Total Security