هکرها از اسناد Microsoft Excel برای انجام حمله بدافزار CHAINSHOT استفاده می کنند

صفحه اصلی » مایکروسافت

نماد زمان خواندن 3 دقیقه خواندن

نماد تقویم منتشر شده در

by آنمول مهروترا 

منتشر شده در

این مقاله را به اشتراک بگذارید

خوانندگان به پشتیبانی از MSpoweruser کمک می کنند. در صورت خرید از طریق پیوندهای ما ممکن است کمیسیون دریافت کنیم. نماد راهنمای ابزار

صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب

یک بدافزار جدید به نام CHAINSHOT اخیراً برای هدف قرار دادن آسیب‌پذیری روز صفر Adobe Flash (CVE-2018-5002) استفاده شده است. بدافزار با استفاده از یک فایل مایکروسافت اکسل حاوی یک شی کوچک Shockwave Flash ActiveX و ویژگی به نام "فیلم" حاوی URL برای دانلود برنامه فلش منتقل شد.

محققان توانسته اند کلید 512 بیتی RSA را شکسته و محموله را رمزگشایی کنند. علاوه بر این، محققان دریافتند که برنامه Flash یک دانلود کننده مبهم است که یک جفت کلید RSA تصادفی 512 بیتی را در حافظه فرآیند ایجاد می کند. سپس کلید خصوصی در حافظه باقی می ماند و کلید عمومی برای رمزگذاری کلید AES (که برای رمزگذاری محموله استفاده می شود) به سرور مهاجم ارسال می شود. بعداً محموله رمزگذاری شده برای دانلود کننده و کلید خصوصی موجود برای رمزگشایی کلید 128 بیتی AES و محموله ارسال شد.

—–شروع کلید خصوصی RSA—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–پایان کلید خصوصی RSA—–

محققان واحد 42 شبکه های پالو آلتو کسانی بودند که رمزگذاری را شکستند و یافته های خود و همچنین نحوه شکستن آن را به اشتراک گذاشتند.

در حالی که کلید خصوصی فقط در حافظه باقی می ماند، مدول کلیدهای عمومی n به سرور مهاجم ارسال می شود. در سمت سرور، مدول همراه با توان رمزگذاری شده e 0x10001 برای رمزگذاری کلید 128 بیتی AES که قبلاً برای رمزگذاری بارگذاری اکسپلویت و پوسته استفاده می‌شد، استفاده می‌شود.

– شبکه های پالو آلتو

هنگامی که محققان کلید 128 بیتی AES را رمزگشایی کردند، توانستند محموله را نیز رمزگشایی کنند. به گفته محققان، هنگامی که payload مجوزهای RWE را به دست آورد، اجرا به payload shellcode منتقل می شود که سپس یک DLL تعبیه شده به نام FirstStageDropper.dll را بارگیری می کند.

پس از اینکه اکسپلویت با موفقیت مجوزهای RWE را به دست آورد، اجرا به payload shellcode منتقل می شود. کد پوسته یک DLL تعبیه شده با نام FirstStageDropper.dll را که ما آن را CHAINSHOT می نامیم، در حافظه بارگذاری می کند و با فراخوانی تابع صادرات آن "__xjwz97" اجرا می کند. DLL شامل دو منبع است، اولی x64 DLL با نام داخلی SecondStageDropper.dll و دومی یک shellcode هسته x64 است.

– شبکه های پالو آلتو

محققان همچنین شاخص های سازش را به اشتراک گذاشتند. در زیر می توانید به هر دوی آنها نگاهی بیندازید.

شاخص های سازش

Adobe Flash Downloader

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Adobe Flash Exploit (CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

منبع: شبکه های پالوآلتو؛ از طريق: هکرهای GB, رایانه رایانه

بیشتر در مورد موضوعات: ادوبی فلش پلیر, مایکروسافت, مایکروسافت اکسل, آسیب پذیری روز صفر

آنمول مهروترا

آنمول مهروترا سپر

Android و Windows News Reporter

Anmol اخبار اندروید و ویندوز را پوشش می دهد. او یک نویسنده فناوری با بیش از یک دهه تجربه است.

پاسخ دهید

آدرس ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند *