ハッカーはMicrosoftExcelドキュメントを使用してCHAINSHOTマルウェア攻撃を実行します

最近、CHAINSHOTという名前の新しいマルウェアが、Adobe Flashのゼロデイ脆弱性（CVE-2018-5002）を標的にするために使用されました。 マルウェアは、小さなShockwave FlashActiveXオブジェクトを含むMicrosoftExcelファイルと、フラッシュアプ​​リケーションをダウンロードするためのURLを含む「Movie」というプロパティを使用して転送されました。

研究者は512ビットのRSAキーを解読し、ペイロードを復号化することができました。 さらに、研究者は、Flashアプリケーションがプロセスのメモリ内にランダムな512ビットRSAキーペアを作成する難読化されたダウンローダーであることを発見しました。 その後、秘密鍵はメモリに残り、公開鍵は攻撃者のサーバーに送信され、AES鍵（ペイロードの暗号化に使用）が暗号化されます。 後で暗号化されたペイロードがダウンローダーと既存の秘密鍵に送信され、128ビットのAES鍵とペイロードが復号化されます。

-BEGIN RSA秘密鍵-
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
-RSA秘密鍵を終了-

Palo Alto Networks Unit 42の研究者は、暗号化を解読し、その結果とその解読方法を共有した人物です。

秘密鍵はメモリにのみ残りますが、公開鍵の係数nは攻撃者のサーバーに送信されます。 サーバー側では、モジュラスはハードコードされた指数e 0x10001と一緒に使用され、エクスプロイトとシェルコードのペイロードを暗号化するために以前に使用された128ビットのAESキーを暗号化します。

–パロアルトネットワークス

研究者が128ビットのAESキーを復号化すると、ペイロードも復号化できるようになりました。 研究者によると、ペイロードがRWE権限を取得すると、実行はシェルコードペイロードに渡され、シェルコードペイロードはFirstStageDropper.dllという名前の組み込みDLLをロードします。

エクスプロイトがRWE権限を正常に取得した後、実行はシェルコードペイロードに渡されます。 シェルコードは、CHAINSHOTと呼ばれるFirstStageDropper.dllという名前の組み込みDLLをメモリにロードし、そのエクスポート関数「__xjwz97」を呼び出して実行します。 DLLには64つのリソースが含まれています。64つは内部的にSecondStageDropper.dllという名前のxXNUMXDLLで、もうXNUMXつはxXNUMXカーネルモードシェルコードです。

–パロアルトネットワークス

研究者はまた、侵入の痕跡を共有しました。 以下で両方を見ることができます。

侵害の兆候

Adobe Flash ダウンローダー

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Adobe Flashエクスプロイト（CVE-2018-5002）

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

情報源： パロアルトネットワークス; 経由： GBハッカー, 漂白コンピュータ