Οι χάκερ χρησιμοποιούν έγγραφα του Microsoft Excel για να πραγματοποιήσουν επίθεση κακόβουλου λογισμικού CHAINSHOT
3 λεπτό. ανάγνωση
Δημοσιεύθηκε στις
Μοιραστείτε αυτό το άρθρο
Βελτιώστε αυτόν τον οδηγό
Διαβάστε τη σελίδα αποκάλυψης για να μάθετε πώς μπορείτε να βοηθήσετε το MSPoweruser να διατηρήσει τη συντακτική ομάδα Διάβασε περισσότερα
Ένα νέο κακόβουλο λογισμικό με το όνομα CHAINSHOT χρησιμοποιήθηκε πρόσφατα για τη στόχευση της ευπάθειας zero-day του Adobe Flash (CVE-2018-5002). Το κακόβουλο λογισμικό μεταφέρθηκε χρησιμοποιώντας ένα αρχείο Microsoft Excel που περιέχει ένα μικροσκοπικό αντικείμενο Shockwave Flash ActiveX και την ιδιότητα που ονομάζεται "Movie" που περιέχει μια διεύθυνση URL για τη λήψη της εφαρμογής flash.
Οι ερευνητές κατάφεραν να σπάσουν το κλειδί RSA 512-bit και να αποκρυπτογραφήσουν το ωφέλιμο φορτίο. Επιπλέον, οι ερευνητές ανακάλυψαν ότι η εφαρμογή Flash ήταν ένα σκοτεινό πρόγραμμα λήψης που δημιουργεί ένα τυχαίο ζεύγος κλειδιών RSA 512-bit στη μνήμη της διαδικασίας. Στη συνέχεια, το ιδιωτικό κλειδί παραμένει στη μνήμη και το δημόσιο κλειδί αποστέλλεται στον διακομιστή εισβολέα για να κρυπτογραφήσει το κλειδί AES (χρησιμοποιείται για την κρυπτογράφηση του ωφέλιμου φορτίου). Αργότερα, το κρυπτογραφημένο ωφέλιμο φορτίο στάλθηκε στο πρόγραμμα λήψης και στο υπάρχον ιδιωτικό κλειδί για την αποκρυπτογράφηση του κλειδιού AES 128-bit και του ωφέλιμου φορτίου.
—–ΕΝΑΡΞΗ ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ RSA—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–ΤΕΛΟΣ ΙΔΙΩΤΙΚΟ ΚΛΕΙΔΙ RSA—–
Οι ερευνητές στη μονάδα 42 δικτύων του Palo Alto ήταν αυτοί που έσπασαν την κρυπτογράφηση και μοιράστηκαν τα ευρήματά τους καθώς και τον τρόπο με τον οποίο την έσπασαν.
Ενώ το ιδιωτικό κλειδί παραμένει μόνο στη μνήμη, το modulus n των δημόσιων κλειδιών αποστέλλεται στον διακομιστή του εισβολέα. Στην πλευρά του διακομιστή, το modulus χρησιμοποιείται μαζί με τον σκληρό κώδικα εκθέτη e 0x10001 για την κρυπτογράφηση του κλειδιού AES 128-bit που χρησιμοποιήθηκε προηγουμένως για την κρυπτογράφηση του ωφέλιμου φορτίου εκμετάλλευσης και κελύφους.
– Palo Alto Networks
Μόλις οι ερευνητές αποκρυπτογραφούσαν το κλειδί AES 128-bit, μπόρεσαν να αποκρυπτογραφήσουν και το ωφέλιμο φορτίο. Σύμφωνα με τους ερευνητές, μόλις το ωφέλιμο φορτίο αποκτήσει δικαιώματα RWE, η εκτέλεση μεταβιβάζεται στο ωφέλιμο φορτίο του shellcode το οποίο στη συνέχεια φορτώνει ένα ενσωματωμένο DLL με το όνομα FirstStageDropper.dll.
Αφού το exploit αποκτήσει επιτυχώς δικαιώματα RWE, η εκτέλεση μεταβιβάζεται στο ωφέλιμο φορτίο του shellcode. Ο shellcode φορτώνει στη μνήμη ένα ενσωματωμένο DLL με το όνομα FirstStageDropper.dll, το οποίο ονομάζουμε CHAINSHOT και το εκτελεί καλώντας τη συνάρτηση εξαγωγής «__xjwz97». Το DLL περιέχει δύο πόρους, ο πρώτος είναι x64 DLL με εσωτερική ονομασία SecondStageDropper.dll και ο δεύτερος είναι ένας κώδικας shellmode πυρήνα x64.
– Palo Alto Networks
Οι ερευνητές μοιράστηκαν επίσης τους δείκτες συμβιβασμού. Μπορείτε να ρίξετε μια ματιά και στα δύο παρακάτω.
Δείκτες συμβιβασμού
Adobe Flash Downloader
189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c
Adobe Flash Exploit (CVE-2018-5002)
3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497
πηγή: Palo Alto Networks,. Μέσω: GB Hackers, Bleeping Computer
