Hakeri koriste Microsoft Excel dokumente za izvođenje CHAINSHOT napada zlonamjernog softvera

Naslovna » microsoft

Ikona vremena čitanja 3 min. čitati

Ikona kalendara Objavljeno na

by Anmol Mehrotra 

objavljeno

Podijelite ovaj članak

Čitatelji pomažu pri podršci MSpoweruser. Možda ćemo dobiti proviziju ako kupujete putem naših veza. Ikona opisa alata

Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više

Novi zlonamjerni softver pod nazivom CHAINSHOT nedavno je upotrijebljen za ciljanje ranjivosti nula dana Adobe Flasha (CVE-2018-5002). Zlonamjerni softver je prenesen pomoću datoteke Microsoft Excel koja sadrži mali Shockwave Flash ActiveX objekt i svojstvo pod nazivom "Film" koje sadrži URL za preuzimanje flash aplikacije.

Istraživači su uspjeli probiti 512-bitni RSA ključ i dešifrirati korisni teret. Štoviše, istraživači su otkrili da je Flash aplikacija zamagljeni program za preuzimanje koji stvara nasumični 512-bitni RSA par ključeva u memoriji procesa. Privatni ključ tada ostaje u memoriji, a javni ključ se šalje poslužitelju napadača da šifrira AES ključ (koji se koristi za šifriranje korisnog opterećenja). Kasnije se šifrirani korisni teret šalje preuzimaču i postojeći privatni ključ za dešifriranje 128-bitnog AES ključa i korisnog opterećenja.

—–POČNI RSA PRIVATNI KLJUČ—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–KRAJ RSA PRIVATNI KLJUČ—–

Istraživači u Palo Alto Networks Unit 42 bili su ti koji su provalili enkripciju i podijelili svoja otkrića kao i kako su je razbili.

Dok privatni ključ ostaje samo u memoriji, modul javnih ključeva n šalje se na napadačev poslužitelj. Na strani poslužitelja, modul se koristi zajedno s tvrdokodiranim eksponentom e 0x10001 za šifriranje 128-bitnog AES ključa koji je prethodno korišten za šifriranje iskorištavanja i korisnog opterećenja shellcode-a.

– Palo Alto Networks

Nakon što su istraživači dešifrirali 128-bitni AES ključ, uspjeli su dešifrirati i korisni teret. Prema istraživačima, nakon što korisni teret dobije RWE dozvole, izvršenje se prosljeđuje na korisni učitavanje shellcodea koji zatim učitava ugrađeni DLL internog naziva FirstStageDropper.dll.

Nakon što eksploatacija uspješno dobije RWE dozvole, izvršenje se prosljeđuje korisnom učitavanju shellcode-a. Shellcode učitava ugrađenu DLL interno nazvanu FirstStageDropper.dll, koju zovemo CHAINSHOT, u memoriju i pokreće je pozivajući njegovu funkciju izvoza “__xjwz97”. DLL sadrži dva resursa, prvi je x64 DLL interno nazvan SecondStageDropper.dll, a drugi je shellcode x64 kernelmode.

– Palo Alto Networks

Istraživači su također podijelili pokazatelje kompromisa. U nastavku možete pogledati oba.

Pokazatelji kompromisa

Adobe Flash Downloader

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Adobe Flash Exploit (CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

Izvor: Palo Alto Networks; Preko: GB Hakeri, Računalo za spavanje

Više o temama: Adobe Flash Player, Microsoft, Microsoft Excel, ranjivost nula dana

Anmol Mehrotra

Anmol Mehrotra Štit

Android i Windows News Reporter

Anmol pokriva vijesti o Androidu i Windowsu. On je tehnički pisac s više od desetljeća iskustva.

Ostavi odgovor

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena *