Tin tặc sử dụng Microsoft Excel Documents để thực hiện Cuộc tấn công bằng phần mềm độc hại CHAINSHOT

Trang Chủ » microsoft

Biểu tượng thời gian đọc 3 phút đọc

Biểu tượng lịch Được đăng trên

by Anmol Mehrotra 

Được xuất bản trên

Chia sẻ bài báo này

Bạn đọc giúp đỡ ủng hộ MSpoweruser. Chúng tôi có thể nhận được hoa hồng nếu bạn mua thông qua các liên kết của chúng tôi. Biểu tượng chú giải công cụ

Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm

Một phần mềm độc hại mới có tên CHAINSHOT gần đây đã được sử dụng để nhắm mục tiêu vào lỗ hổng zero-day của Adobe Flash (CVE-2018-5002). Phần mềm độc hại đã được chuyển bằng cách sử dụng tệp Microsoft Excel chứa đối tượng Shockwave Flash ActiveX nhỏ và thuộc tính có tên “Phim” chứa URL để tải xuống ứng dụng flash.

Các nhà nghiên cứu đã có thể bẻ khóa RSA 512-bit và giải mã tải trọng. Hơn nữa, các nhà nghiên cứu nhận thấy rằng ứng dụng Flash là một trình tải xuống xáo trộn tạo ra một cặp khóa RSA 512 bit ngẫu nhiên trong bộ nhớ của quá trình. Sau đó, khóa Riêng tư vẫn còn trong bộ nhớ và khóa công khai được gửi đến máy chủ của kẻ tấn công để mã hóa khóa AES (được sử dụng để mã hóa tải trọng). Tải trọng được mã hóa sau đó được gửi tới trình tải xuống và khóa cá nhân hiện có để giải mã khóa AES 128 bit và tải trọng.

—– BẮT ĐẦU KHÓA RIÊNG TƯ RSA—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—– XUẤT KHÓA RIÊNG TƯ RSA—–

Các nhà nghiên cứu tại Đơn vị 42 của Palo Alto Networks là những người đã bẻ khóa mã hóa và chia sẻ những phát hiện của họ cũng như cách họ bẻ khóa nó.

Trong khi khóa riêng tư chỉ còn lại trong bộ nhớ, modulus n của khóa công khai được gửi đến máy chủ của kẻ tấn công. Ở phía máy chủ, mô-đun được sử dụng cùng với số mũ được mã hóa cứng e 0x10001 để mã hóa khóa AES 128-bit đã được sử dụng trước đây để mã hóa tải trọng khai thác và mã shell.

- Mạng Palo Alto

Sau khi các nhà nghiên cứu giải mã khóa AES 128-bit, họ cũng có thể giải mã tải trọng. Theo các nhà nghiên cứu, một khi payload có được quyền RWE, việc thực thi sẽ được chuyển tới payload shellcode, sau đó sẽ tải một tệp DLL được nhúng bên trong có tên là FirstStageDropper.dll.

Sau khi khai thác thành công nhận được quyền RWE, quá trình thực thi được chuyển tới trọng tải shellcode. Shellcode tải một DLL nhúng bên trong có tên là FirstStageDropper.dll, mà chúng tôi gọi là CHAINSHOT, vào bộ nhớ và chạy nó bằng cách gọi hàm xuất của nó “__xjwz97”. DLL chứa hai tài nguyên, tài nguyên đầu tiên là x64 DLL có tên nội bộ là SecondStageDropper.dll và tài nguyên thứ hai là mã shellcode kernelmode x64.

- Mạng Palo Alto

Các nhà nghiên cứu cũng chia sẻ các Chỉ số Thỏa hiệp. Bạn có thể xem qua cả hai trong số chúng dưới đây.

Các chỉ số về sự thỏa hiệp

Trình tải xuống Adobe Flash

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Khai thác Adobe Flash (CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

nguồn: Palo Alto Networks; Thông qua: Tin tặc GB, Máy tính ngủ đêm

Thông tin thêm về các chủ đề: Adobe Flash Player, microsoft, Microsoft Excel, lỗ hổng zero-day

Anmol Mehrotra

Anmol Mehrotra Lá chắn

Phóng viên tin tức Android và Windows

Anmol đưa tin về Android và Windows. Anh ấy là một nhà văn công nghệ với hơn một thập kỷ kinh nghiệm.

Bình luận

Chúng tôi sẽ không công khai email của bạn. Các ô đánh dấu * là bắt buộc *