Hakerzy wykorzystują dokumenty Microsoft Excel do przeprowadzania ataku złośliwego oprogramowania CHAINSHOT
3 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Nowe złośliwe oprogramowanie o nazwie CHAINSHOT zostało niedawno wykorzystane do atakowania luki zero-day Adobe Flash (CVE-2018-5002). Szkodliwe oprogramowanie zostało przeniesione przy użyciu pliku Microsoft Excel zawierającego maleńki obiekt Shockwave Flash ActiveX oraz właściwość o nazwie „Movie” zawierającą adres URL do pobrania aplikacji flash.
Naukowcom udało się złamać 512-bitowy klucz RSA i odszyfrować ładunek. Co więcej, naukowcy odkryli, że aplikacja Flash była zaciemnionym programem do pobierania, który tworzy losową parę 512-bitowych kluczy RSA w pamięci procesu. Klucz prywatny pozostaje następnie w pamięci, a klucz publiczny jest wysyłany do serwera atakującego w celu zaszyfrowania klucza AES (używanego do szyfrowania ładunku). Później zaszyfrowany ładunek wysłany do programu pobierającego i istniejącego klucza prywatnego w celu odszyfrowania 128-bitowego klucza AES i ładunku.
—–ROZPOCZNIJ KLUCZ PRYWATNY RSA—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–KONIEC KLUCZ PRYWATNY RSA—–
To naukowcy z Palo Alto Networks Unit 42 złamali szyfr i podzielili się swoimi odkryciami, a także sposobem, w jaki je złamali.
Podczas gdy klucz prywatny pozostaje tylko w pamięci, moduł n kluczy publicznych jest wysyłany na serwer atakującego. Po stronie serwera moduł jest używany wraz z zakodowanym na sztywno wykładnikiem e 0x10001 do zaszyfrowania 128-bitowego klucza AES, który był używany wcześniej do szyfrowania exploita i ładunku w szelkodzie.
– Palo Alto Networks
Po odszyfrowaniu 128-bitowego klucza AES naukowcy byli w stanie odszyfrować również ładunek. Według naukowców, gdy ładunek uzyska uprawnienia RWE, wykonanie jest przekazywane do ładunku kodu powłoki, który następnie ładuje osadzoną bibliotekę DLL wewnętrznie o nazwie FirstStageDropper.dll.
Po pomyślnym uzyskaniu przez exploita uprawnień RWE wykonanie jest przekazywane do ładunku w szelkodzie. Shellcode ładuje do pamięci osadzoną bibliotekę DLL o nazwie FirstStageDropper.dll, którą nazywamy CHAINSHOT, i uruchamia ją, wywołując funkcję eksportu „__xjwz97”. Biblioteka DLL zawiera dwa zasoby, pierwszy to biblioteka DLL x64 o wewnętrznej nazwie SecondStageDropper.dll, a drugi to kod powłoki x64 w trybie jądra.
– Sieci Palo Alto
Badacze podzielili się także wskaźnikami kompromisu. Możesz rzucić okiem na oba z nich poniżej.
Wskaźniki kompromisu
Program do pobierania Adobe Flash
189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c
Wykorzystanie Adobe Flash (CVE-2018-5002)
3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497
Źródło: Palo Alto Networks; Przez: GB Hakerzy, Komputer spłukujący