黑客使用 Microsoft Excel 文檔進行 CHAINSHOT 惡意軟件攻擊

一種名為 CHAINSHOT 的新惡意軟件最近被用於針對 Adob​​e Flash 零日漏洞 (CVE-2018-5002)。 該惡意軟件使用包含一個微小的 Shockwave Flash ActiveX 對象的 Microsoft Excel 文件和一個名為“Movie”的屬性進行傳輸，該屬性包含一個用於下載 Flash 應用程序的 URL。

研究人員已經能夠破解 512 位 RSA 密鑰並解密有效載荷。 此外，研究人員發現 Flash 應用程序是一個混淆下載器，它在進程的內存中創建一個隨機的 512 位 RSA 密鑰對。 然後，私鑰保留在內存中，公鑰被發送到攻擊者服務器以加密 AES 密鑰（用於加密有效負載）。 後來加密的有效載荷發送到下載器和現有的私鑰以解密 128 位 AES 密鑰和有效載荷。

—–開始 RSA 私鑰—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
————結束 RSA 私鑰——

Palo Alto Networks Unit 42 的研究人員破解了加密並分享了他們的發現以及他們如何破解它。

雖然私鑰只保留在內存中，但公鑰的模數 n 被發送到攻擊者的服務器。 在服務器端，模數與硬編碼指數 e 0x10001 一起用於加密 128 位 AES 密鑰，該密鑰以前用於加密漏洞利用和 shellcode 有效負載。

– 帕洛阿爾托網絡

一旦研究人員解密了 128 位 AES 密鑰，他們也能夠解密有效載荷。 據研究人員稱，一旦有效載荷獲得 RWE 權限，執行將傳遞給 shellcode 有效載荷，然後加載一個內部名為 FirstStageDropper.dll 的嵌入式 DLL。

漏洞利用成功獲得 RWE 權限後，將執行傳遞給 shellcode 有效負載。 shellcode 將一個內部名為 FirstStageDropper.dll 的嵌入式 DLL（我們稱之為 CHAINSHOT）加載到內存中，並通過調用其導出函數“__xjwz97”來運行它。 DLL 包含兩個資源，第一個是內部名為 SecondStageDropper.dll 的 x64 DLL，第二個是 x64 內核模式 shellcode。

–帕洛阿爾托網絡

研究人員還分享了妥協指標。 您可以在下面查看它們。

妥協指標

Adobe Flash 下載器

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Adobe Flash 漏洞利用 (CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

資源： 帕洛阿爾托網絡; 通過： GB黑客, 計算機