Предупреждение! Обновление WinRAR Exploit с помощью социальной инженерии и шифрования

  • Автор темы Konstant213
  • Дата начала
Konstant213

Konstant213

Пользователь
Сообщения
51
Реакции
56
Баллы
28
22 февраля 360 Threat Intelligence Center захватили первый архив ACE [1], распространяющий вредоносное ПО посредством использования уязвимости WinRAR (CVE-2018-20250). В то же время мы также напомнили пользователям, что нужно предпринимать действия по устранению этой уязвимости высокого риска.
Как и предполагалось, в следующие дни мы собрали несколько образцов с использованием этой уязвимости, а также наблюдали некоторые связанные APT-атаки. Очевидно, что злоумышленники используют эту уязвимость более тонким способом. Например, они встраивают множество изображений и заманивают цель для распаковки, поскольку их нельзя предварительно просмотреть в сжатом архиве, зашифровать вредоносный файл ACE перед доставкой и т. Д.
Можно видеть, что атаки, использующие эту уязвимость, находятся на ранних стадиях эпидемии, и многие другие вредоносные программы, включая червей, могут быть встроены в качестве полезной нагрузки в будущем, что приведет к большему ущербу. 360 Threat Intelligence Center еще раз напоминает пользователям о необходимости принятия своевременных и эффективных мер, а более подробную информацию см. В разделе «Методы смягчения последствий».
Анализ образцов
Центр разведки угроз 360 исследовал некоторые репрезентативные образцы и представил соответствующий анализ ниже.
Вызвать декомпрессию с помощью файлов изображений
43018
Поскольку изображения внутри архива WinRAR не могут быть предварительно просмотрены, чтобы вызвать уязвимость, злоумышленники помещают внутрь большое количество файлов изображений и заманивают жертву для распаковки архива. Когда жертвы открывают архив RAR, они могут видеть много файлов изображений.

Вероятно, они могут нажать на одно из изображений ради любопытства:
43016
Если жертва заинтересована в изображении, они, вероятно, распакуют архив, поскольку все изображения не могут быть предварительно просмотрены в WinRAR. Это значительно увеличивает шансы на запуск уязвимости. Ниже приведен пример распакованных изображений:
43020
После запуска уязвимости файл OfficeUpdateService.exe будет выпущен в каталог «% AppData% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup» и будет выполнен при повторном входе пользователя в систему или при перезагрузке компьютера.
43021
Backdoor (OfficeUpdateService.exe)
OfficeUpdateService.exe - это бэкдор удаленного управления, написанный на C #, который содержит такие функции, как управление компьютером (перезагрузка / выключение), управление файлами (загрузка / загрузка / обход), удаленная оболочка, управление троянскими программами (установка / удаление), захват экрана, запись , и так далее.
43022
43023
Адрес C & C: conloap.linkin.tw:8080
43024
Похожие образцы
Кроме того, мы также сняли еще несколько похожих образцов.
43025
Файлы изображений после распаковки:
43027
43028
Файлы изображений после распаковки:
Файлы изображений после распаковки:
Бэкдор без файлов, ориентированный на арабский регион
43029
Образец содержит документ-приманку в формате PDF о возможностях трудоустройства в Саудовской Аравии WinRAR извлечет вредоносный скрипт (Wipolicy.vbe) в папку автозагрузки, если сработает уязвимость. Последняя полезная нагрузка - это бэкдор PowerShell (C2: hxxps: //manage-shope.com: 443), который выполняется непосредственно в памяти.
43031
Деталь документа PDF:
43032
Wipolicy.vbe извлекается в папку «% AppData% \ Microsoft \ Windows \ Пуск \ Пуск \ Программы \ Автозагрузка» :
43033

Wipolicy.vbe
Это зашифрованный сценарий VBS, и часть расшифрованного кода показана ниже:
43034
Сценарий VBS выполнит сценарий PowerShell после расшифровки.
43035
Изображение PNG, загруженное с сайта hxxp: //local-update.com/banana.png, содержит скрытые данные и будет использовано для формирования сценария PowerShell для фазы 2, как показано ниже:
43036
Сценарий PowerShell для фазы 2 загружает дополнительные двоичные файлы с сайта hxxps: //manage-shope.com: 443 и расшифровывает сценарий PowerShell для фазы 3 через AES. Ниже приведен пример сценария Фазы 3:
43037
Скрипт является бэкдором и подключается к hxxps: //manage-shope.com: 443 для удаленных команд. Используя бэкдор, злоумышленники могут создавать удаленную оболочку, загружать / скачивать файлы, загружать дополнительные модули, выполнять другие сценарии PowerShell и т. Д.
Зашифрованный архив ACE
43038
Исполняемый файл содержит только нули внутри, так как пароль неверный:
43039
Заключение
360 Threat Intelligence Center обнаружил атаки APT с использованием этой уязвимости в процессе написания этой статьи, что также может указывать на то, что она находится на ранних стадиях вспышки. Многие другие вредоносные программы, в том числе черви, могут быть встроены в качестве полезной нагрузки в будущем, чтобы нанести больше ущерба. Мы хотели бы еще раз напомнить пользователям о необходимости своевременных и эффективных мер против предстоящих атак.
Подходы к смягчению
  1. Поставщик программного обеспечения выпустил последнюю версию WinRAR, и мы рекомендуем пользователям обновить ее до последней версии (WinRAR 5.70 beta 1).
32 бита: http: //win-rar.com/fileadmin/winrar-versions/wrar57b1.exe
64 бита: http: //win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe
  1. Если патч не может быть установлен в данный момент, вы можете напрямую удалить уязвимую DLL (UNACEV2.DLL). Это не влияет на нормальное использование, а просто сообщает об ошибке при обнаружении ACE-архивов.
Продукты 360 ESG могут защитить пользователей от этих новых атак, в том числе 360 Threat Intelligence Platform, SkyEye APT Detection и 360 NGSOC.
IOC

43040

источник: Warning! Upgrades in WinRAR Exploit with Social Engineering and Encryption | 360 Total Security Blog
 

Вложения

Сверху Снизу