Хакери використовують документи Microsoft Excel для здійснення атаки зловмисного програмного забезпечення CHAINSHOT
3 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Нове шкідливе програмне забезпечення під назвою CHAINSHOT нещодавно було використано для націлювання на вразливість нульового дня Adobe Flash (CVE-2018-5002). Шкідливе програмне забезпечення було передано за допомогою файлу Microsoft Excel, який містить крихітний об’єкт Shockwave Flash ActiveX і властивість під назвою «Фільм», що містить URL-адресу для завантаження програми Flash.
Дослідникам вдалося зламати 512-бітний ключ RSA і розшифрувати корисне навантаження. Крім того, дослідники виявили, що програма Flash була заплутаним завантажувачем, який створює випадкову 512-бітну пару ключів RSA в пам’яті процесу. Тоді закритий ключ залишається в пам’яті, а відкритий ключ надсилається на сервер зловмисника для шифрування ключа AES (використовується для шифрування корисного навантаження). Пізніше зашифроване корисне навантаження надіслано завантажувачу та наявний закритий ключ для розшифрування 128-бітного ключа AES та корисного навантаження.
—–ПОЧИТИ ПРИВАТНИЙ КЛЮЧ RSA—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–КІНЦІ ПРИВАТНИЙ КЛЮЧ RSA—–
Дослідники з відділу мереж 42 Пало-Альто були тими, хто зламав шифрування і поділився своїми висновками, а також тим, як вони його зламали.
У той час як закритий ключ залишається лише в пам'яті, модуль відкритих ключів n надсилається на сервер зловмисника. На стороні сервера модуль використовується разом із жорстко закодованим показником e 0x10001 для шифрування 128-бітового ключа AES, який раніше використовувався для шифрування корисного навантаження експлойту та шелл-коду.
– Palo Alto Networks
Як тільки дослідники розшифрували 128-бітний ключ AES, вони також змогли розшифрувати корисне навантаження. За словами дослідників, як тільки корисне навантаження отримує дозволи RWE, виконання передається корисному завантаженню шелл-коду, який потім завантажує вбудовану DLL з внутрішньою назвою FirstStageDropper.dll.
Після того, як експлойт успішно отримує дозволи RWE, виконання передається до корисного навантаження шелл-коду. Шел-код завантажує в пам’ять вбудовану DLL з внутрішньою назвою FirstStageDropper.dll, яку ми називаємо CHAINSHOT, і запускає її, викликаючи її функцію експорту «__xjwz97». DLL містить два ресурси, перший — це x64 DLL із внутрішньою назвою SecondStageDropper.dll, а другий — шелл-код x64.
– мережі Пало-Альто
Дослідники також поділилися показниками компромісу. Нижче ви можете подивитись на обидва.
Показники компромісу
Завантажувач Adobe Flash
189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c
Adobe Flash Exploit (CVE-2018-5002)
3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497
джерело: Palo Alto Networks; Через: ГБ Хакери, Комп'ютерний комп'ютер
