Les pirates utilisent des documents Microsoft Excel pour mener à bien CHAINSHOT Malware Attack

Accueil » Microsoft

Icône de temps de lecture 3 minute. lis

Icône de calendrier Publié le

by Anmol Mehrotra 

publié sur

Partagez cet article

Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens. Icône d'info-bulle

Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus

Un nouveau malware nommé CHAINSHOT a récemment été utilisé pour cibler la vulnérabilité zero-day d'Adobe Flash (CVE-2018-5002). Le logiciel malveillant a été transféré à l'aide d'un fichier Microsoft Excel contenant un petit objet Shockwave Flash ActiveX et la propriété appelée "Movie" contenant une URL pour télécharger l'application flash.

Les chercheurs ont réussi à casser la clé RSA 512 bits et à déchiffrer la charge utile. De plus, les chercheurs ont découvert que l'application Flash était un téléchargeur obfusqué qui crée une paire de clés RSA aléatoire de 512 bits en mémoire du processus. La clé privée reste alors en mémoire et la clé publique est envoyée au serveur attaquant pour chiffrer la clé AES (utilisée pour chiffrer le payload). Plus tard Charge utile cryptée envoyée au téléchargeur et clé privée existante pour déchiffrer la clé et la charge utile AES 128 bits.

—–COMMENCER LA CLÉ PRIVÉE RSA—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–FIN DE LA CLÉ PRIVÉE RSA—–

Les chercheurs de l'unité 42 de Palo Alto Networks sont ceux qui ont déchiffré le cryptage et ont partagé leurs découvertes ainsi que la façon dont ils l'ont déchiffré.

Alors que la clé privée reste uniquement en mémoire, le module n des clés publiques est envoyé au serveur de l'attaquant. Côté serveur, le module est utilisé avec l'exposant codé en dur e 0x10001 pour chiffrer la clé AES 128 bits qui était utilisée précédemment pour chiffrer la charge utile de l'exploit et du shellcode.

– Réseaux de Palo Alto

Une fois que les chercheurs ont déchiffré la clé AES 128 bits, ils ont également pu déchiffrer la charge utile. Selon les chercheurs, une fois que la charge utile obtient les autorisations RWE, l'exécution est transmise à la charge utile du shellcode qui charge ensuite une DLL intégrée nommée en interne FirstStageDropper.dll.

Une fois que l'exploit a réussi à obtenir les autorisations RWE, l'exécution est transmise à la charge utile du shellcode. Le shellcode charge une DLL intégrée nommée en interne FirstStageDropper.dll, que nous appelons CHAINSHOT, en mémoire et l'exécute en appelant sa fonction d'exportation "__xjwz97". La DLL contient deux ressources, la première est une DLL x64 nommée en interne SecondStageDropper.dll et la seconde est un shellcode en mode noyau x64.

- Palo Alto Networks

Les chercheurs ont également partagé les indicateurs de compromis. Vous pouvez jeter un œil aux deux ci-dessous.

Indicateurs de compromis

Téléchargeur Adobe Flash

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Exploit Adobe Flash (CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

La source: Palo Alto Networks; Via: Hackers GB, Ordinateur Bleeping

En savoir plus sur les sujets : Adobe Flash Player, microsoft, Microsoft Excel, vulnérabilité zéro jour

Anmol Mehrotra

Anmol Mehrotra bouclier

Journaliste d'actualités Android et Windows

Anmol couvre l'actualité Android et Windows. C'est un rédacteur technique avec plus d'une décennie d'expérience.

Soyez sympa! Laissez un commentaire

Votre adresse email n'apparaitra pas. Les champs obligatoires sont marqués *