Gli hacker utilizzano documenti Microsoft Excel per eseguire un attacco malware CHAINSHOT

Icona del tempo di lettura 3 minuto. leggere

Icona del calendario Edizione del 10 settembre 2018

pubblicato su 10 settembre 2018

I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link.

Un nuovo malware chiamato CHAINSHOT è stato recentemente utilizzato per prendere di mira la vulnerabilità zero-day di Adobe Flash (CVE-2018-5002). Il malware è stato trasferito utilizzando un file Microsoft Excel contenente un minuscolo oggetto Shockwave Flash ActiveX e la proprietà denominata "Movie" contenente un URL per scaricare l'applicazione flash.

I ricercatori sono stati in grado di decifrare la chiave RSA a 512 bit e decrittografare il carico utile. Inoltre, i ricercatori hanno scoperto che l'applicazione Flash era un downloader offuscato che crea una coppia di chiavi RSA casuale a 512 bit in memoria del processo. La chiave privata rimane quindi in memoria e la chiave pubblica viene inviata al server dell'attaccante per crittografare la chiave AES (utilizzata per crittografare il payload). Successivamente payload crittografato inviato al downloader e alla chiave privata esistente per decrittografare la chiave AES a 128 bit e il payload.

—–BEGIN RSA CHIAVE PRIVATA—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–FINE CHIAVE PRIVATA RSA—–

I ricercatori della Palo Alto Networks Unit 42 sono stati quelli che hanno violato la crittografia e condiviso le loro scoperte e come l'hanno decifrata.

Mentre la chiave privata rimane solo in memoria, il modulo n delle chiavi pubbliche viene inviato al server dell'attaccante. Lato server, il modulo viene utilizzato insieme all'esponente hardcoded e 0x10001 per crittografare la chiave AES a 128 bit utilizzata in precedenza per crittografare l'exploit e il payload dello shellcode.

– Reti di Palo Alto

Una volta che i ricercatori hanno decrittografato la chiave AES a 128 bit, sono stati in grado di decrittografare anche il carico utile. Secondo i ricercatori, una volta che il payload ottiene le autorizzazioni RWE, l'esecuzione viene passata al payload dello shellcode che quindi carica una DLL incorporata denominata internamente FirstStageDropper.dll.

Dopo che l'exploit ha ottenuto con successo le autorizzazioni RWE, l'esecuzione viene passata al payload dello shellcode. Lo shellcode carica una DLL incorporata internamente denominata FirstStageDropper.dll, che chiamiamo CHAINSHOT, in memoria e la esegue chiamando la sua funzione di esportazione “__xjwz97”. La DLL contiene due risorse, la prima è una DLL x64 internamente denominata SecondStageDropper.dll e la seconda è uno shellcode x64 kernelmode.

- Palo Alto Networks

I ricercatori hanno anche condiviso gli indicatori di compromesso. Puoi dare un'occhiata a entrambi di seguito.

Indicatori di compromesso

Scarica Adobe Flash

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Exploit di Adobe Flash (CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

Fonte: Palo Alto Networks; Attraverso: GB hacker, Bleeping Computer

Maggiori informazioni sugli argomenti: Adobe Flash Player, microsoft, Microsoft Excel, vulnerabilità zero-day