Bilgisayar korsanları, CHAINSHOT Kötü Amaçlı Yazılım Saldırısı gerçekleştirmek için Microsoft Excel Belgelerini kullanıyor

Ana Sayfa » Microsoft

Okuma zamanı simgesi 3 dk. okuman

Takvim simgesi Yayınlandı

by Anmol Mehrotra 

yayınlandı

Bu makaleyi paylaş

Okuyucular MSpoweruser'ı desteklemeye yardımcı olur. Bağlantılarımız aracılığıyla satın alırsanız komisyon alabiliriz. Araç İpucu Simgesi

MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla

Adobe Flash sıfır gün güvenlik açığını (CVE-2018-5002) hedeflemek için yakın zamanda CHAINSHOT adlı yeni bir kötü amaçlı yazılım kullanıldı. Kötü amaçlı yazılım, küçük bir Shockwave Flash ActiveX nesnesi içeren bir Microsoft Excel dosyası ve flash uygulamasını indirmek için bir URL içeren "Film" adlı özellik kullanılarak aktarıldı.

Araştırmacılar 512 bit RSA anahtarını kırabildiler ve yükün şifresini çözdüler. Ayrıca araştırmacılar, Flash uygulamasının, işlemin belleğinde rastgele bir 512 bit RSA anahtar çifti oluşturan, karmaşık bir indirici olduğunu buldu. Özel anahtar daha sonra bellekte kalır ve ortak anahtar, AES anahtarını şifrelemek için saldırgan sunucusuna gönderilir (yükü şifrelemek için kullanılır). Daha sonra, 128 bit AES anahtarının ve yükün şifresini çözmek için indiriciye ve mevcut özel anahtara gönderilen Şifreli yük.

—–RSA ÖZEL ANAHTARI BAŞLAYIN—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–RSA ÖZEL ANAHTARININ SONLANDIRILMASI—–

Palo Alto Networks Unit 42'deki araştırmacılar, şifrelemeyi kıran ve bulgularını ve nasıl kırdıklarını paylaşanlardı.

Özel anahtar yalnızca bellekte kalırken, genel anahtarların modülü n, saldırganın sunucusuna gönderilir. Sunucu tarafında, modül, önceden açıklardan yararlanma ve kabuk kodu yükünü şifrelemek için kullanılan 0 bit AES anahtarını şifrelemek için sabit kodlanmış üs e 10001x128 ile birlikte kullanılır.

– Palo Alto Ağları

Araştırmacılar 128-bit AES anahtarının şifresini çözdükten sonra, yükün şifresini de çözebildiler. Araştırmacılara göre, yük RWE izinlerini kazandığında, yürütme kabuk kodu yüküne geçirilir ve daha sonra dahili olarak FirstStageDropper.dll adlı gömülü bir DLL yüklenir.

İstismar başarıyla RWE izinlerini kazandıktan sonra, yürütme kabuk kodu yüküne iletilir. Kabuk kodu, CHAINSHOT dediğimiz dahili FirstStageDropper.dll adlı gömülü bir DLL dosyasını belleğe yükler ve dışa aktarma işlevini “__xjwz97” çağırarak çalıştırır. DLL iki kaynak içerir, ilki dahili olarak SecondStageDropper.dll adlı x64 DLL'dir ve ikincisi bir x64 kernelmode kabuk kodudur.

- Palo Alto Ağları

Araştırmacılar ayrıca Uzlaşma Göstergelerini de paylaştılar. Her ikisine de aşağıdan göz atabilirsiniz.

Uzlaşma Göstergeleri

Adobe Flash İndirici

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Adobe Flash İstismarı (CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

Kaynak: Palo Alto Networks; Üzerinden: GB Hackerları, Bleeping Bilgisayarı

Konular hakkında daha fazla bilgi: Adobe Flash Player, microsoft, Microsoft Excel, sıfır gün güvenlik açığı

Anmol Mehrotra

Anmol Mehrotra Kalkan

Android ve Windows Haber Muhabiri

Anmol, Android ve Windows haberlerini kapsar. On yıldan fazla deneyime sahip bir teknoloji yazarıdır.

Yorum bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar işaretlenmişlerdir. *