Hackeři používají dokumenty Microsoft Excel k provedení CHAINSHOT Malware Attack
3 min. číst
Publikované dne
Sdílejte tento článek
Vylepšete tuto příručku
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Nový malware s názvem CHAINSHOT byl nedávno použit k cílení na zranitelnost Adobe Flash zero-day (CVE-2018-5002). Malware byl přenesen pomocí souboru Microsoft Excel obsahujícího malý objekt Shockwave Flash ActiveX a vlastnost nazvanou „Film“ obsahující adresu URL ke stažení flash aplikace.
Výzkumníkům se podařilo prolomit 512bitový klíč RSA a dešifrovat užitečné zatížení. Kromě toho výzkumníci zjistili, že aplikace Flash byla zmateným downloaderem, který v paměti procesu vytváří náhodný 512bitový klíčový pár RSA. Soukromý klíč pak zůstane v paměti a veřejný klíč je odeslán na server útočníka, aby zašifroval klíč AES (používá se k šifrování datové části). Později Zašifrovaná datová část odeslaná stahovacímu programu a stávajícímu soukromému klíči k dešifrování 128bitového klíče AES a datové části.
—–ZAČÁTEK PRIVATE KEY RSA––
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–KONEC PRIVATE KEY RSA––
Výzkumníci z Palo Alto Networks Unit 42 byli těmi, kdo prolomili šifrování a podělili se o svá zjištění a také o to, jak je prolomili.
Zatímco soukromý klíč zůstává pouze v paměti, modul veřejného klíče n je odeslán na server útočníka. Na straně serveru se modul používá spolu s pevně zakódovaným exponentem e 0x10001 k šifrování 128bitového klíče AES, který se dříve používal k šifrování exploitu a užitečného zatížení shell kódu.
– Palo Alto Networks
Jakmile výzkumníci dešifrovali 128bitový klíč AES, byli schopni dešifrovat i užitečné zatížení. Podle výzkumníků, jakmile datová část získá oprávnění RWE, spuštění je předáno užitečné zátěži shell kódu, která pak načte vloženou knihovnu DLL interně pojmenovanou FirstStageDropper.dll.
Poté, co exploit úspěšně získá oprávnění RWE, je spuštění předáno užitečné zátěži shell kódu. Shellcode načte do paměti vloženou DLL interně pojmenovanou FirstStageDropper.dll, kterou nazýváme CHAINSHOT, a spustí ji voláním její exportní funkce „__xjwz97“. DLL obsahuje dva zdroje, první je x64 DLL interně pojmenovaná SecondStageDropper.dll a druhý je x64 kernelmode shell kód.
– Palo Alto Networks
Výzkumníci také sdíleli indikátory kompromisu. Na oba se můžete podívat níže.
Ukazatele kompromisu
Adobe Flash Downloader
189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c
Adobe Flash Exploit (CVE-2018-5002)
3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497
Zdroj: Palo Alto Networks; Přes: GB hackeři, Bleeping počítač
