Hackere bruger Microsoft Excel-dokumenter til at udføre CHAINSHOT Malware-angreb

Hjem » microsoft

Ikon for læsetid 3 min. Læs

Kalenderikon Udgivet den

by Anmol Mehrotra 

offentliggjort den

Del denne artikel

Læsere hjælper med at understøtte MSpoweruser. Vi får muligvis en kommission, hvis du køber via vores links. Værktøjstip-ikon

Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere

En ny malware ved navn CHAINSHOT blev for nylig brugt til at målrette mod Adobe Flash zero-day sårbarhed (CVE-2018-5002). Malwaren blev overført ved hjælp af en Microsoft Excel-fil, der indeholdt et lille Shockwave Flash ActiveX-objekt og egenskaben kaldet "Movie", der indeholdt en URL til at downloade flash-applikationen.

Forskere har været i stand til at knække 512-bit RSA-nøglen og dekryptere nyttelasten. Desuden fandt forskere ud af, at Flash-applikationen var en tilsløret downloader, som skaber et tilfældigt 512-bit RSA-nøglepar til hukommelsen af ​​processen. Den private nøgle forbliver derefter i hukommelsen, og den offentlige nøgle sendes til angriberserveren for at kryptere AES-nøglen (bruges til at kryptere nyttelasten). Senere sendes krypteret nyttelast til downloaderen og eksisterende privat nøgle for at dekryptere 128-bit AES-nøglen og nyttelasten.

—–BEGIN RSA PRIVAT NØGLE—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–SLUT RSA PRIVAT NØGLE—–

Forskere ved Palo Alto Networks Unit 42 var dem, der knækkede krypteringen og delte deres resultater, samt hvordan de knækkede den.

Mens den private nøgle kun forbliver i hukommelsen, sendes de offentlige nøglers modul n til angriberens server. På serversiden bruges modulet sammen med den hårdkodede eksponent e 0x10001 til at kryptere 128-bit AES-nøglen, som tidligere blev brugt til at kryptere udnyttelsen og shellcode-nyttelasten.

– Palo Alto Networks

Når forskerne dekrypterede 128-bit AES-nøglen, var de også i stand til at dekryptere nyttelasten. Ifølge forskerne, når nyttelasten får RWE-tilladelser, overføres eksekveringen til shellcode-nyttelasten, som derefter indlæser en indlejret DLL internt ved navn FirstStageDropper.dll.

Efter at udnyttelsen har opnået RWE-tilladelser, overføres eksekveringen til shellcode-nyttelasten. Shellkoden indlæser en indlejret DLL internt ved navn FirstStageDropper.dll, som vi kalder CHAINSHOT, i hukommelsen og kører den ved at kalde dens eksportfunktion "__xjwz97". DLL'en indeholder to ressourcer, den første er x64 DLL internt kaldet SecondStageDropper.dll og den anden er en x64 kernelmode shellcode.

– Palo Alto Networks

Forskerne delte også indikatorerne for kompromis. Du kan tage et kig på dem begge nedenfor.

Indikatorer for kompromis

Adobe Flash Downloader

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Adobe Flash Exploit (CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

Kilde: Palo Alto Networks; via: GB hackere, Bleeping Computer

Anmol Mehrotra

Anmol Mehrotra Shield

Android og Windows News Reporter

Anmol dækker Android- og Windows-nyheder. Han er en teknisk forfatter med over ti års erfaring.

Brugerforum

0 meddelelser