Hacker verwenden Microsoft Excel-Dokumente, um CHAINSHOT-Malware-Angriffe durchzuführen
3 Minute. lesen
Veröffentlicht am
Teile diesen Artikel
Verbessern Sie diesen Leitfaden
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Eine neue Malware namens CHAINSHOT wurde kürzlich verwendet, um die Zero-Day-Schwachstelle von Adobe Flash (CVE-2018-5002) zu bekämpfen. Die Malware wurde mithilfe einer Microsoft Excel-Datei übertragen, die ein winziges Shockwave Flash ActiveX-Objekt und die Eigenschaft „Movie“ mit einer URL zum Herunterladen der Flash-Anwendung enthielt.
Forschern ist es gelungen, den 512-Bit-RSA-Schlüssel zu knacken und die Nutzdaten zu entschlüsseln. Darüber hinaus fanden die Forscher heraus, dass die Flash-Anwendung ein verschleierter Downloader war, der ein zufälliges 512-Bit-RSA-Schlüsselpaar im Speicher des Prozesses erstellt. Der private Schlüssel verbleibt dann im Speicher und der öffentliche Schlüssel wird an den Server des Angreifers gesendet, um den AES-Schlüssel (der zum Verschlüsseln der Nutzdaten verwendet wird) zu verschlüsseln. Später verschlüsselte Nutzdaten, die an den Downloader gesendet werden, und vorhandener privater Schlüssel, um den 128-Bit-AES-Schlüssel und die Nutzdaten zu entschlüsseln.
—– RSA PRIVATER SCHLÜSSEL BEGINNEN —–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–ENDE RSA PRIVATER SCHLÜSSEL—–
Forscher der Palo Alto Networks Unit 42 waren diejenigen, die die Verschlüsselung geknackt und ihre Ergebnisse sowie die Art und Weise, wie sie sie geknackt haben, geteilt haben.
Während der private Schlüssel nur im Speicher verbleibt, wird der Modulus n des öffentlichen Schlüssels an den Server des Angreifers gesendet. Auf der Serverseite wird der Modulus zusammen mit dem fest codierten Exponenten e 0x10001 verwendet, um den 128-Bit-AES-Schlüssel zu verschlüsseln, der zuvor verwendet wurde, um die Exploit- und Shellcode-Nutzdaten zu verschlüsseln.
– Palo-Alto-Netzwerke
Nachdem die Forscher den 128-Bit-AES-Schlüssel entschlüsselt hatten, konnten sie auch die Nutzdaten entschlüsseln. Den Forschern zufolge wird die Ausführung an die Shellcode-Nutzlast weitergegeben, sobald die Nutzlast RWE-Berechtigungen erhält, die dann eine eingebettete DLL mit dem internen Namen FirstStageDropper.dll lädt.
Nachdem der Exploit erfolgreich RWE-Berechtigungen erlangt hat, wird die Ausführung an die Shellcode-Nutzdaten übergeben. Der Shellcode lädt eine eingebettete DLL mit dem internen Namen FirstStageDropper.dll, die wir CHAINSHOT nennen, in den Speicher und führt sie durch Aufrufen ihrer Exportfunktion „__xjwz97“ aus. Die DLL enthält zwei Ressourcen, die erste ist eine x64-DLL mit dem internen Namen SecondStageDropper.dll und die zweite ist ein x64-Kernelmodus-Shellcode.
- Palo Alto Networks
Die Forscher teilten auch die Indikatoren für Kompromisse. Sie können sich beide unten ansehen.
Kompromissindikatoren
Adobe Flash-Downloader
189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c
Adobe Flash-Exploit (CVE-2018-5002)
3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497
Quelle: Palo Alto Networks; Über: GB-Hacker, Piepender Computer
