แฮกเกอร์ใช้เอกสาร Microsoft Excel เพื่อดำเนินการ CHAINSHOT Malware Attack

ไอคอนเวลาอ่านหนังสือ 3 นาที. อ่าน

ไอคอนปฏิทิน เผยแพร่เมื่อ September 10, 2018

เผยแพร่บน September 10, 2018

ผู้อ่านช่วยสนับสนุน MSpoweruser เราอาจได้รับค่าคอมมิชชันหากคุณซื้อผ่านลิงก์ของเรา

มัลแวร์ตัวใหม่ชื่อ CHAINSHOT ถูกใช้เพื่อกำหนดเป้าหมายช่องโหว่แบบ Zero-day ของ Adobe Flash (CVE-2018-5002) มัลแวร์ถูกถ่ายโอนโดยใช้ไฟล์ Microsoft Excel ที่มีออบเจ็กต์ Shockwave Flash ActiveX ขนาดเล็ก และคุณสมบัติที่เรียกว่า “ภาพยนตร์” ที่มี URL สำหรับดาวน์โหลดแอปพลิเคชั่นแฟลช

นักวิจัยสามารถถอดรหัสคีย์ RSA 512 บิตและถอดรหัสข้อมูลได้ นอกจากนี้ นักวิจัยพบว่าแอปพลิเคชั่น Flash เป็นตัวดาวน์โหลดที่สร้างความสับสน ซึ่งสร้างคู่คีย์ RSA 512 บิตแบบสุ่มในหน่วยความจำของกระบวนการ คีย์ส่วนตัวจะยังคงอยู่ในหน่วยความจำและคีย์สาธารณะจะถูกส่งไปยังเซิร์ฟเวอร์ของผู้โจมตีเพื่อเข้ารหัสคีย์ AES (ใช้ในการเข้ารหัสเพย์โหลด) ภายหลัง เพย์โหลดที่เข้ารหัสจะถูกส่งไปยังตัวดาวน์โหลดและคีย์ส่วนตัวที่มีอยู่เพื่อถอดรหัสคีย์ AES 128 บิตและเพย์โหลด

—–เริ่มต้นคีย์ส่วนตัว RSA—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–END RSA คีย์ส่วนตัว—–

นักวิจัยที่ Palo Alto Networks Unit 42 เป็นผู้ถอดรหัสและแชร์สิ่งที่ค้นพบตลอดจนวิธีการถอดรหัส

ในขณะที่คีย์ส่วนตัวยังคงอยู่ในหน่วยความจำเท่านั้น โมดูลัส n ของคีย์สาธารณะจะถูกส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี ทางฝั่งเซิร์ฟเวอร์ โมดูลัสจะใช้ร่วมกับเลขชี้กำลังฮาร์ดโค้ด e 0x10001 เพื่อเข้ารหัสคีย์ AES 128 บิต ซึ่งเคยใช้ก่อนหน้านี้เพื่อเข้ารหัสช่องโหว่และเพย์โหลดของเชลล์โค้ด

– เครือข่ายพาโลอัลโต

เมื่อนักวิจัยถอดรหัสคีย์ AES 128 บิตแล้ว พวกเขาก็สามารถถอดรหัสเพย์โหลดได้เช่นกัน ตามที่นักวิจัยกล่าวว่า เมื่อเพย์โหลดได้รับสิทธิ์ RWE การดำเนินการจะถูกส่งไปยังเชลล์โค้ดเพย์โหลด ซึ่งจะโหลด DLL ที่ฝังไว้ภายในชื่อ FirstStageDropper.dll

หลังจากที่ช่องโหว่ได้รับสิทธิ์ RWE เรียบร้อยแล้ว การดำเนินการจะถูกส่งต่อไปยัง payload ของ shellcode shellcode จะโหลด DLL ที่ฝังไว้ภายในชื่อ FirstStageDropper.dll ซึ่งเราเรียกว่า CHAINSHOT ลงในหน่วยความจำและเรียกใช้โดยเรียกใช้ฟังก์ชันการส่งออก “__xjwz97” DLL ประกอบด้วยทรัพยากรสองแห่ง ทรัพยากรแรกคือ x64 DLL ที่ชื่อ SecondStageDropper.dll ภายใน และที่สองคือ x64 kernelmode shellcode

- เครือข่าย Palo Alto

นักวิจัยยังได้แบ่งปันตัวบ่งชี้การประนีประนอม คุณสามารถดูทั้งสองด้านล่าง

ตัวบ่งชี้การประนีประนอม

อะโดบี แฟลช ดาวน์โหลด

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

การใช้ประโยชน์จาก Adobe Flash (CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

ที่มา: พาโลอัลโตเครือข่าย; ผ่าน: GB แฮ็กเกอร์, คอมพิวเตอร์กำลังหลับอยู่

ข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อต่างๆ: โปรแกรม Adobe Flash Player, ไมโครซอฟท์, Microsoft Excel, ช่องโหว่ศูนย์วัน