แฮกเกอร์ใช้เอกสาร Microsoft Excel เพื่อดำเนินการ CHAINSHOT Malware Attack
3 นาที. อ่าน
เผยแพร่เมื่อ
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
มัลแวร์ตัวใหม่ชื่อ CHAINSHOT ถูกใช้เพื่อกำหนดเป้าหมายช่องโหว่แบบ Zero-day ของ Adobe Flash (CVE-2018-5002) มัลแวร์ถูกถ่ายโอนโดยใช้ไฟล์ Microsoft Excel ที่มีออบเจ็กต์ Shockwave Flash ActiveX ขนาดเล็ก และคุณสมบัติที่เรียกว่า “ภาพยนตร์” ที่มี URL สำหรับดาวน์โหลดแอปพลิเคชั่นแฟลช
นักวิจัยสามารถถอดรหัสคีย์ RSA 512 บิตและถอดรหัสข้อมูลได้ นอกจากนี้ นักวิจัยพบว่าแอปพลิเคชั่น Flash เป็นตัวดาวน์โหลดที่สร้างความสับสน ซึ่งสร้างคู่คีย์ RSA 512 บิตแบบสุ่มในหน่วยความจำของกระบวนการ คีย์ส่วนตัวจะยังคงอยู่ในหน่วยความจำและคีย์สาธารณะจะถูกส่งไปยังเซิร์ฟเวอร์ของผู้โจมตีเพื่อเข้ารหัสคีย์ AES (ใช้ในการเข้ารหัสเพย์โหลด) ภายหลัง เพย์โหลดที่เข้ารหัสจะถูกส่งไปยังตัวดาวน์โหลดและคีย์ส่วนตัวที่มีอยู่เพื่อถอดรหัสคีย์ AES 128 บิตและเพย์โหลด
—–เริ่มต้นคีย์ส่วนตัว RSA—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–END RSA คีย์ส่วนตัว—–
นักวิจัยที่ Palo Alto Networks Unit 42 เป็นผู้ถอดรหัสและแชร์สิ่งที่ค้นพบตลอดจนวิธีการถอดรหัส
ในขณะที่คีย์ส่วนตัวยังคงอยู่ในหน่วยความจำเท่านั้น โมดูลัส n ของคีย์สาธารณะจะถูกส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี ทางฝั่งเซิร์ฟเวอร์ โมดูลัสจะใช้ร่วมกับเลขชี้กำลังฮาร์ดโค้ด e 0x10001 เพื่อเข้ารหัสคีย์ AES 128 บิต ซึ่งเคยใช้ก่อนหน้านี้เพื่อเข้ารหัสช่องโหว่และเพย์โหลดของเชลล์โค้ด
– เครือข่ายพาโลอัลโต
เมื่อนักวิจัยถอดรหัสคีย์ AES 128 บิตแล้ว พวกเขาก็สามารถถอดรหัสเพย์โหลดได้เช่นกัน ตามที่นักวิจัยกล่าวว่า เมื่อเพย์โหลดได้รับสิทธิ์ RWE การดำเนินการจะถูกส่งไปยังเชลล์โค้ดเพย์โหลด ซึ่งจะโหลด DLL ที่ฝังไว้ภายในชื่อ FirstStageDropper.dll
หลังจากที่ช่องโหว่ได้รับสิทธิ์ RWE เรียบร้อยแล้ว การดำเนินการจะถูกส่งต่อไปยัง payload ของ shellcode shellcode จะโหลด DLL ที่ฝังไว้ภายในชื่อ FirstStageDropper.dll ซึ่งเราเรียกว่า CHAINSHOT ลงในหน่วยความจำและเรียกใช้โดยเรียกใช้ฟังก์ชันการส่งออก “__xjwz97” DLL ประกอบด้วยทรัพยากรสองแห่ง ทรัพยากรแรกคือ x64 DLL ที่ชื่อ SecondStageDropper.dll ภายใน และที่สองคือ x64 kernelmode shellcode
- เครือข่าย Palo Alto
นักวิจัยยังได้แบ่งปันตัวบ่งชี้การประนีประนอม คุณสามารถดูทั้งสองด้านล่าง
ตัวบ่งชี้การประนีประนอม
อะโดบี แฟลช ดาวน์โหลด
189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c
การใช้ประโยชน์จาก Adobe Flash (CVE-2018-5002)
3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497
ที่มา: พาโลอัลโตเครือข่าย; ผ่าน: GB แฮ็กเกอร์, คอมพิวเตอร์กำลังหลับอยู่