Hakerzy wykorzystują dokumenty Microsoft Excel do przeprowadzania ataku złośliwego oprogramowania CHAINSHOT

Strona główna » Microsoft

Ikona czasu czytania 3 minuta. czytać

Ikona kalendarza Opublikowany

by Anmola Mehrotry 

opublikowane w dniu

Udostępnij ten artykuł

Czytelnicy pomagają wspierać MSpoweruser. Możemy otrzymać prowizję, jeśli dokonasz zakupu za pośrednictwem naszych linków. Ikona podpowiedzi

Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej

Nowe złośliwe oprogramowanie o nazwie CHAINSHOT zostało niedawno wykorzystane do atakowania luki zero-day Adobe Flash (CVE-2018-5002). Szkodliwe oprogramowanie zostało przeniesione przy użyciu pliku Microsoft Excel zawierającego maleńki obiekt Shockwave Flash ActiveX oraz właściwość o nazwie „Movie” zawierającą adres URL do pobrania aplikacji flash.

Naukowcom udało się złamać 512-bitowy klucz RSA i odszyfrować ładunek. Co więcej, naukowcy odkryli, że aplikacja Flash była zaciemnionym programem do pobierania, który tworzy losową parę 512-bitowych kluczy RSA w pamięci procesu. Klucz prywatny pozostaje następnie w pamięci, a klucz publiczny jest wysyłany do serwera atakującego w celu zaszyfrowania klucza AES (używanego do szyfrowania ładunku). Później zaszyfrowany ładunek wysłany do programu pobierającego i istniejącego klucza prywatnego w celu odszyfrowania 128-bitowego klucza AES i ładunku.

—–ROZPOCZNIJ KLUCZ PRYWATNY RSA—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–KONIEC KLUCZ PRYWATNY RSA—–

To naukowcy z Palo Alto Networks Unit 42 złamali szyfr i podzielili się swoimi odkryciami, a także sposobem, w jaki je złamali.

Podczas gdy klucz prywatny pozostaje tylko w pamięci, moduł n kluczy publicznych jest wysyłany na serwer atakującego. Po stronie serwera moduł jest używany wraz z zakodowanym na sztywno wykładnikiem e 0x10001 do zaszyfrowania 128-bitowego klucza AES, który był używany wcześniej do szyfrowania exploita i ładunku w szelkodzie.

– Palo Alto Networks

Po odszyfrowaniu 128-bitowego klucza AES naukowcy byli w stanie odszyfrować również ładunek. Według naukowców, gdy ładunek uzyska uprawnienia RWE, wykonanie jest przekazywane do ładunku kodu powłoki, który następnie ładuje osadzoną bibliotekę DLL wewnętrznie o nazwie FirstStageDropper.dll.

Po pomyślnym uzyskaniu przez exploita uprawnień RWE wykonanie jest przekazywane do ładunku w szelkodzie. Shellcode ładuje do pamięci osadzoną bibliotekę DLL o nazwie FirstStageDropper.dll, którą nazywamy CHAINSHOT, i uruchamia ją, wywołując funkcję eksportu „__xjwz97”. Biblioteka DLL zawiera dwa zasoby, pierwszy to biblioteka DLL x64 o wewnętrznej nazwie SecondStageDropper.dll, a drugi to kod powłoki x64 w trybie jądra.

– Sieci Palo Alto

Badacze podzielili się także wskaźnikami kompromisu. Możesz rzucić okiem na oba z nich poniżej.

Wskaźniki kompromisu

Program do pobierania Adobe Flash

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Wykorzystanie Adobe Flash (CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

Źródło: Palo Alto Networks; Przez: GB Hakerzy, Komputer spłukujący

Więcej na tematy: Adobe Flash Player, Microsoft, Microsoft Excel, podatność na zero dni

Anmola Mehrotry

Anmola Mehrotry Tarcza

Reporter wiadomości o Androidzie i Windowsie

Anmol obejmuje wiadomości dotyczące Androida i Windowsa. Jest pisarzem technicznym z ponad dziesięcioletnim doświadczeniem.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *