如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

背景

2019年3月17日,360威胁情报中心截获了一例疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞(CVE-2018-20250[6])针对中东地区定向攻击样本。该恶意ACE压缩包内包含一个以恐怖袭击事件为诱饵的Office Word文档,诱使受害者解压文件,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后将内置的后门程序(Telegram Desk较好.exe)释放到用户计算机启动项目录中,当用户重启或登录系统都会执行该远控木马,从而控制受害者计算机。

360威胁情报中心通过关联分析后发现,该攻击活动疑似与“黄金鼠”APT组织(APT-C-27)相关,并且经过进一步溯源与关联,我们还发现了多个与该组织相关的Android平台的恶意样本,这类样本主要伪装成一些常用软件向特定目标人群进行攻击,结合恶意代码中与攻击者相关的文字内容,可以猜测攻击者也比较熟悉阿拉伯语。

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

后门程序(TelegramDesk较好.exe)在VirusTotal上的检测情况

样本分析

360威胁情报中心针对该利用WinRAR漏洞的样本进行了分析,相关分析如下。

利用恐袭事件诱导解压

MD5 314e8105f28530eb0bf54891b9b3ff69
文件名

该恶意压缩文件包含一个OfficeWord文档,文档内容为一次恐怖袭击相关事件。中东地区由于其政治、地理等特殊性,该地区遭受恐怖袭击繁多,人民深受其害,所以该地区人民对于恐怖袭击等事件敏感,致使受害者解压文档的可能性增加:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

诱饵文档翻译内容

用户如果解压该恶意压缩包,则会触发WinRAR漏洞,从而释放内置的后门程序到用户启动目录中:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

当用户重新启动计算机或登录系统后将执行释放的后门程序Telegram Desk较好.exe。

Backdoor(Telegram Desk较好.exe)

文件名 Telegram Desk较好.exe
MD5 36027a4abfb702107a103478f6af49be
SHA256 76fd23de8f977f51d832a87d7b0f7692a0ff8af333d74fa5ade2e99fec010689
编译信息 .NET

后门程序TelegramDesk较好.exe会从PE资源中读取数据并写入到:%TEMP%Telegram Desk较好.vbs,随后执行该VBS脚本,并休眠17秒直到VBS脚本运行完成:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

该VBS脚本的主要功能为通过Base64解码内置的字符串,并将解码后的字符串写入到文件:%TEMP%Process.exe,最后执行Process.exe:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

Process.exe执行后会在%TEMP%目录下创建文件1717.txt,并写入与最终执行的后门程序相关的数据,以供Telegram Desk较好.exe后续使用:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

随后TelegramDesk较好.exe便会读取1717.txt文件的内容,并将其中的特殊字符替换:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

之后再通过Base64解码数据,并在内存中加载执行解码后的数据:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

最终在内存中加载执行的数据为njRAT后门程序,相关配置信息如下:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

njRAT

内存加载执行的njRAT后门程序会首先创建互斥量,保证只有一个实例运行:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

并判断当前运行路径是否为配置文件中设置的路径,若不是则拷贝自身到该路径启动执行:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

随后关闭附件检查器和防火墙:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

并开启键盘记录线程,将键盘记录的结果写入注册表:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

开启通信线程,与C&C地址建立通信并接受命令执行:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

该njRAT远控还具有远程SHELL、插件下载执行、远程桌面、文件管理等多个功能:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

Android平台样本分析

360威胁情报中心通过VirusTotal还关联到了“黄金鼠”(APT-C-27)APT组织最近使用的多个Android平台的恶意样本,其同样使用了82.137.255.56作为C&C地址(82.137.255.56:1740):

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

而近期关联到的Android平台后门样本主要伪装为Android系统更新、Office升级程序等常用软件。我们以伪装为Office升级程序的Android样本为例进行了分析,相关分析如下:

文件MD5 1cc32f2a351927777fc3b2ae5639f4d5
文件名 OfficeUpdate2019.apk

该Android样本启动后,会诱导用户激活设备管理器,接着隐藏图标并在后台运行:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

诱导用户完成安装后,样本会展示如下界面:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

接着样本将通过Android默认的SharedPreferences存储接口来获取上线的IP地址和端口,如果获取不到,就解码默认的硬编码IP地址和端口上线:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

相关IP地址的解码算法:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

最终解码后的IP地址为:82.137.255.56,端口也是需要把硬编码后的端口加上100来得到最终的端口1740:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

当连接C&C地址成功后,便会发送上线包、接受控制者的命令并执行。该样本具有录音、拍照、GPS定位、上传联系人/通话记录/短信/文件、执行云端命令等功能:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

Android后门样本的相关指令及功能列表如下:

指令 功能
16 心跳打点
17 connect
18 获取指定文件的基本信息
19 下载文件
20 上传文件
21 删除文件
22 按照云端指令复制文件
23 按照云端指令移动文件
24 按照云端指令重命名文件
25 运行文件
28 按照云端指令创建目录
29 执行云端命令
30 执行一次ping命令
31 获取并上传联系人信息
32 获取并上传短信
33 获取并上传通话记录
34 开始录音
35 停止并上传录音文件
36 拍照
37 开始GPS定位
38 停止GPS定位并上传位置信息
39 使用云端发来的ip/port
40 向云端报告当前使用的ip/port
41 获取已安装应用的信息

值得注意的是,在该样本回传的命令信息中包含了阿拉伯语的相关信息,因此我们推测攻击者有较大可能熟悉使用阿拉伯语:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

溯源与关联

通过查询本次捕获的后门程序C&C地址(82.137.255.56:1921)可知,该IP地址自2017年起便多次被APT-C-27(黄金鼠)组织使用,该IP地址疑似为该组织的固有IP资产。通过360网络研究院大数据关联平台可以看到与该IP地址关联的多个样本信息:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

通过360威胁情报中心威胁分析平台(ti.360.net)查询该C&C地址,也被打上了APT-C-27相关的标签:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

并且从本次捕获到的相关木马样本(Windows和Android平台)的功能模块、代码逻辑、内置信息语言、目标人群、网络资产等信息都和早前曝光的APT-C-27[2]使用的木马样本信息高度相似。所以360威胁情报中心认为本次截获的相关样本同样也与“黄金鼠”APT组织(APT-C-27)相关。

正如我们的预测,利用WinRAR漏洞(CVE-2018-20250)传播恶意程序的攻击行为正处在爆发阶段,360威胁情报中心此前观察到多个利用此漏洞进行的APT攻击活动,而本次截获的疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞的定向攻击活动仅仅只是众多利用该漏洞实施定向攻击案例中的一例。因此360威胁情报中心再次提醒各用户及时做好该漏洞防护措施。(见“缓解措施”一节)

缓解措施

1、 软件厂商已经发布了最新的WinRAR版本,360威胁情报中心建议用户及时更新升级WinRAR(5.70 beta 1)到最新版本,下载地址如下:

32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2、 如暂时无法安装补丁,可以直接删除漏洞的DLL(UNACEV2.DLL),这样不影响一般的使用,但是遇到ACE的文件会报错。

目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此类攻击的精确检测。

关于“如何利用WinRAR漏洞针对中东地区的定向攻击活动分析”就介绍到这了,更多相关内容可以搜索亿速云以前的文章,希望能够帮助大家答疑解惑,请多多支持亿速云网站!

文章标题:如何利用WinRAR漏洞针对中东地区的定向攻击活动分析,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/27862

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云
上一篇 2022年9月21日 上午12:16
下一篇 2022年9月21日 上午12:18

相关推荐

  • 2024年9款优质CRM系统全方位解析

    文章介绍的工具有:纷享销客、Zoho CRM、八百客、红圈通、简道云、简信CRM、Salesforce、HubSpot CRM、Apptivo。 在选择合适的CRM系统时,许多企业面临着功能繁多、选择困难的痛点。对于中小企业来说,找到一个既能提高客户关系管理效率,又能适应业务扩展的CRM系统尤为重要…

    2024年7月25日
    1600
  • 数据库权限关系图表是什么

    数据库权限关系图表是一种以图表形式展示数据库权限分配和管理的工具。它可以有效地帮助我们理解和管理数据库中的各种权限关系。数据库权限关系图表主要包含以下几个部分:数据对象、用户(或用户组)、权限类型、权限级别、权限状态等。其中,数据对象是权限关系图表中的核心元素,它代表了数据库中的各种数据资源,如表、…

    2024年7月22日
    200
  • 诚信数据库是什么意思

    诚信数据库是一种收集、存储和管理个人或组织诚信信息的系统。它是一种用于评估和管理个人或组织行为的工具,通常由政府、商业组织或者非营利组织进行运营。诚信数据库的主要功能包括:1、评估个人或组织的诚信状况;2、提供决策支持;3、预防和控制风险;4、促进社会信用体系建设。 在这四大功能中,评估个人或组织的…

    2024年7月22日
    400
  • 数据库期末关系代数是什么

    关系代数是一种对关系进行操作的代数系统,是关系模型的数学基础,主要用于从关系数据库中检索数据。其操作包括选择、投影、并集、差集、笛卡尔积、连接、除法等。其中,选择操作是对关系中的元组进行筛选,只保留满足某一条件的元组;投影操作则是从关系中选择出一部分属性构造一个新的关系。 一、选择操作 选择操作是关…

    2024年7月22日
    700
  • mysql建立数据库用什么命令

    在MySQL中,我们使用"CREATE DATABASE"命令来创建数据库。这是一个非常简单且基础的命令,其语法为:CREATE DATABASE 数据库名。在这个命令中,“CREATE DATABASE”是固定的,而“数据库名”则是你要创建的数据库的名称,可以自己设定。例如,如…

    2024年7月22日
    500
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部