Hackeri používajú dokumenty Microsoft Excel na vykonanie CHAINSHOT Malware Attack
3 min. čítať
Publikované dňa
Zdieľajte tento článok
Vylepšite túto príručku
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
Nový malvér s názvom CHAINSHOT bol nedávno použitý na zacielenie na zero-day zraniteľnosť Adobe Flash (CVE-2018-5002). Malvér bol prenesený pomocou súboru Microsoft Excel obsahujúceho malý objekt Shockwave Flash ActiveX a vlastnosť s názvom „Film“ obsahujúcu adresu URL na stiahnutie aplikácie Flash.
Výskumníkom sa podarilo prelomiť 512-bitový kľúč RSA a dešifrovať užitočné zaťaženie. Okrem toho výskumníci zistili, že aplikácia Flash bola zmätený downloader, ktorý v pamäti procesu vytvára náhodný 512-bitový kľúčový pár RSA. Súkromný kľúč potom zostane v pamäti a verejný kľúč sa odošle na server útočníka na zašifrovanie kľúča AES (používa sa na šifrovanie dát). Neskôr Zašifrovaný obsah odoslaný sťahovačovi a existujúcemu súkromnému kľúču na dešifrovanie 128-bitového kľúča AES a obsahu.
—–ZAČAŤ SÚKROMNÝ KĽÚČ RSA––
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–UKONČIŤ SÚKROMNÝ KĽÚČ RSA––
Výskumníci z Palo Alto Networks Unit 42 boli tí, ktorí prelomili šifrovanie a podelili sa o svoje zistenia, ako aj o to, ako ho prelomili.
Zatiaľ čo súkromný kľúč zostáva iba v pamäti, modul verejného kľúča n je odoslaný na server útočníka. Na strane servera sa modul používa spolu s pevne zakódovaným exponentom e 0x10001 na šifrovanie 128-bitového kľúča AES, ktorý sa predtým používal na šifrovanie obsahu exploitu a shell kódu.
– Palo Alto Networks
Keď výskumníci dešifrovali 128-bitový kľúč AES, dokázali dešifrovať aj užitočné zaťaženie. Podľa výskumníkov, akonáhle užitočné zaťaženie získa povolenia RWE, spustenie sa odovzdá užitočnému zaťaženiu shell kódu, ktorý potom načíta vstavanú knižnicu DLL s interným názvom FirstStageDropper.dll.
Potom, čo exploit úspešne získa povolenia RWE, vykonanie sa odovzdá užitočnému zaťaženiu shell kódu. Kód shellu načíta vstavanú knižnicu DLL s interným názvom FirstStageDropper.dll, ktorú nazývame CHAINSHOT, do pamäte a spustí ju volaním funkcie exportu „__xjwz97“. DLL obsahuje dva zdroje, prvý je x64 DLL interne nazvaný SecondStageDropper.dll a druhý je shell kód x64 kernelmode.
– Palo Alto Networks
Výskumníci tiež zdieľali indikátory kompromisu. Na obe sa môžete pozrieť nižšie.
Indikátory kompromisu
Adobe Flash Downloader
189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c
Adobe Flash Exploit (CVE-2018-5002)
3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497
zdroj: Palo Alto Networks; via: GB Hackeri, Bleeping Computer
