האקרים משתמשים במסמכי Microsoft Excel כדי לבצע CHAINSHOT מתקפת תוכנה זדונית

עמוד הבית » מיקרוסופט

סמל זמן קריאה 3 דקות לקרוא

סמל לוח השנה פורסם ב

by אנמול מהרוטרה 

פורסם ב

שתף את המאמר הזה

קוראים עוזרים לתמוך ב-MSpoweruser. אנו עשויים לקבל עמלה אם תקנה דרך הקישורים שלנו. סמל טיפים

קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד

לאחרונה נעשה שימוש בתוכנה זדונית חדשה בשם CHAINSHOT כדי למקד לפגיעות של Adobe Flash Zero Day (CVE-2018-5002). התוכנה הזדונית הועברה באמצעות קובץ Microsoft Excel המכיל אובייקט Shockwave Flash ActiveX זעיר ואת המאפיין שנקרא "Movie" המכיל כתובת URL להורדת יישום הפלאש.

חוקרים הצליחו לפצח את מפתח ה-RSA של 512 סיביות ולפענח את המטען. יתרה מכך, חוקרים גילו שאפליקציית הפלאש הייתה הורדה מעורפלת שיוצרת זוג מפתחות RSA אקראי של 512 סיביות לזיכרון התהליך. לאחר מכן המפתח הפרטי נשאר בזיכרון והמפתח הציבורי נשלח לשרת התוקף כדי להצפין את מפתח AES (המשמש להצפנת המטען). מאוחר יותר מטען מוצפן נשלח אל ההורדה והמפתח הפרטי הקיים כדי לפענח את מפתח ה-AES והמטען של 128 סיביות.

—–התחל RSA PRIVATE KEY—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–END RSA PRIVATE KEY—–

חוקרים ביחידה 42 של Palo Alto Networks היו אלה שפיצחו את ההצפנה ושיתפו את הממצאים שלהם, כמו גם כיצד הם פיצחו אותה.

בעוד המפתח הפרטי נשאר רק בזיכרון, מודול המפתחות הציבוריים n נשלח לשרת של התוקף. בצד השרת, המודולוס משמש יחד עם המעריך המקודד הקשיח e 0x10001 כדי להצפין את מפתח ה-AES של 128 סיביות ששימש בעבר להצפנת ה-exploit ו- shellcode.

– Palo Alto Networks

ברגע שהחוקרים פיענחו את מפתח ה-AES של 128 סיביות, הם הצליחו לפענח גם את המטען. לטענת החוקרים, ברגע שהמטען מקבל הרשאות RWE, הביצוע מועבר למטען shellcode אשר לאחר מכן טוען DLL מוטבע בשם FirstStageDropper.dll.

לאחר שהניצול מקבל בהצלחה הרשאות RWE, הביצוע מועבר למטען ה- shellcode. קוד המעטפת טוען לזיכרון DLL מוטבע בשם FirstStageDropper.dll, שאנו קוראים לו CHAINSHOT, ומריץ אותו על ידי קריאה לפונקציית הייצוא שלו "__xjwz97". ה-DLL מכיל שני משאבים, הראשון הוא x64 DLL בשם פנימי SecondStageDropper.dll והשני הוא קוד מעטפת x64 kernelmode.

– Palo Alto Networks

החוקרים גם שיתפו את האינדיקטורים של פשרה. אתה יכול להסתכל על שניהם למטה.

אינדיקטורים לפשרה

Adobe Flash Downloader

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Adobe Flash Exploit (CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

מקור: פאלו אלטו נטוורקס; Via you האקרים של GB, מחשב

עוד על הנושאים: נגן פלאש של Adobe, מיקרוסופט, Microsoft Excel, פגיעות של יום אפס

אנמול מהרוטרה

אנמול מהרוטרה מגן

כתב חדשות אנדרואיד ו-Windows

אנמול מכסה חדשות אנדרואיד וחלונות. הוא סופר טכנולוגי עם ניסיון של למעלה מעשור.

השאירו תגובה

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *