Hackere bruker Microsoft Excel-dokumenter for å utføre CHAINSHOT Malware Attack

Hjemprodukt » Microsoft

Ikon for lesetid 3 min. lese

Kalenderikon Publisert på

by Anmol Mehrotra 

publisert på

Del denne artikkelen

Lesere hjelper til med å støtte MSpoweruser. Vi kan få provisjon hvis du kjøper gjennom lenkene våre. Verktøytipsikon

Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer

En ny skadelig programvare kalt CHAINSHOT ble nylig brukt for å målrette mot Adobe Flash zero-day sårbarhet (CVE-2018-5002). Skadevaren ble overført ved hjelp av en Microsoft Excel-fil som inneholder et lite Shockwave Flash ActiveX-objekt og egenskapen kalt "Movie" som inneholder en URL for å laste ned Flash-applikasjonen.

Forskere har klart å knekke 512-biters RSA-nøkkelen og dekryptert nyttelasten. Dessuten fant forskere at Flash-applikasjonen var en skjult nedlaster som lager et tilfeldig 512-bits RSA-nøkkelpar til minne om prosessen. Den private nøkkelen forblir deretter i minnet og den offentlige nøkkelen sendes til angriperserveren for å kryptere AES-nøkkelen (brukes til å kryptere nyttelasten). Senere sendes kryptert nyttelast til nedlasteren og eksisterende privat nøkkel for å dekryptere 128-biters AES-nøkkel og nyttelast.

—–BEGIN RSA PRIVATE NØKKEL—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–SLUT RSA PRIVAT NØKKEL—–

Forskere ved Palo Alto Networks Unit 42 var de som knakk krypteringen og delte funnene sine samt hvordan de knekket den.

Mens den private nøkkelen bare forblir i minnet, sendes de offentlige nøklenes modul n til angriperens server. På serversiden brukes modulen sammen med den hardkodede eksponenten e 0x10001 for å kryptere 128-biters AES-nøkkelen som tidligere ble brukt til å kryptere utnyttelsen og shellcode-nyttelasten.

– Palo Alto Networks

Når forskerne dekrypterte 128-biters AES-nøkkelen, var de i stand til å dekryptere nyttelasten også. I følge forskerne, når nyttelasten får RWE-tillatelser, sendes utførelsen til shellcode-nyttelasten som deretter laster inn en innebygd DLL internt kalt FirstStageDropper.dll.

Etter at utnyttelsen har oppnådd RWE-tillatelser, sendes kjøringen til shellcode-nyttelasten. Skallkoden laster en innebygd DLL internt kalt FirstStageDropper.dll, som vi kaller CHAINSHOT, inn i minnet og kjører den ved å kalle eksportfunksjonen "__xjwz97". DLL-en inneholder to ressurser, den første er x64 DLL internt kalt SecondStageDropper.dll og den andre er en x64 kjernemodus-skallkode.

– Palo Alto Networks

Forskerne delte også Indicators of Compromise. Du kan ta en titt på dem begge nedenfor.

Indikatorer for kompromiss

Adobe Flash Downloader

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Adobe Flash Exploit (CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

kilde: Palo Alto Networks; via: GB hackere, Bleeping Computer

Mer om temaene: Adobe Flash Player, microsoft, Microsoft Excel, null-dagers sårbarhet

Anmol Mehrotra

Anmol Mehrotra Shield

Android og Windows News Reporter

Anmol dekker Android- og Windows-nyheter. Han er en teknisk forfatter med over ti års erfaring.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket *