如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

背景

2019年3月17日,360威胁情报中心截获了一例疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞(CVE-2018-20250[6])针对中东地区定向攻击样本。该恶意ACE压缩包内包含一个以恐怖袭击事件为诱饵的Office Word文档,诱使受害者解压文件,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后将内置的后门程序(Telegram Desk较好.exe)释放到用户计算机启动项目录中,当用户重启或登录系统都会执行该远控木马,从而控制受害者计算机。

360威胁情报中心通过关联分析后发现,该攻击活动疑似与“黄金鼠”APT组织(APT-C-27)相关,并且经过进一步溯源与关联,我们还发现了多个与该组织相关的Android平台的恶意样本,这类样本主要伪装成一些常用软件向特定目标人群进行攻击,结合恶意代码中与攻击者相关的文字内容,可以猜测攻击者也比较熟悉阿拉伯语。

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

后门程序(TelegramDesk较好.exe)在VirusTotal上的检测情况

样本分析

360威胁情报中心针对该利用WinRAR漏洞的样本进行了分析,相关分析如下。

利用恐袭事件诱导解压

MD5 314e8105f28530eb0bf54891b9b3ff69
文件名

该恶意压缩文件包含一个OfficeWord文档,文档内容为一次恐怖袭击相关事件。中东地区由于其政治、地理等特殊性,该地区遭受恐怖袭击繁多,人民深受其害,所以该地区人民对于恐怖袭击等事件敏感,致使受害者解压文档的可能性增加:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

诱饵文档翻译内容

用户如果解压该恶意压缩包,则会触发WinRAR漏洞,从而释放内置的后门程序到用户启动目录中:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

当用户重新启动计算机或登录系统后将执行释放的后门程序Telegram Desk较好.exe。

Backdoor(Telegram Desk较好.exe)

文件名 Telegram Desk较好.exe
MD5 36027a4abfb702107a103478f6af49be
SHA256 76fd23de8f977f51d832a87d7b0f7692a0ff8af333d74fa5ade2e99fec010689
编译信息 .NET

后门程序TelegramDesk较好.exe会从PE资源中读取数据并写入到:%TEMP%Telegram Desk较好.vbs,随后执行该VBS脚本,并休眠17秒直到VBS脚本运行完成:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

该VBS脚本的主要功能为通过Base64解码内置的字符串,并将解码后的字符串写入到文件:%TEMP%Process.exe,最后执行Process.exe:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

Process.exe执行后会在%TEMP%目录下创建文件1717.txt,并写入与最终执行的后门程序相关的数据,以供Telegram Desk较好.exe后续使用:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

随后TelegramDesk较好.exe便会读取1717.txt文件的内容,并将其中的特殊字符替换:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

之后再通过Base64解码数据,并在内存中加载执行解码后的数据:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

最终在内存中加载执行的数据为njRAT后门程序,相关配置信息如下:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

njRAT

内存加载执行的njRAT后门程序会首先创建互斥量,保证只有一个实例运行:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

并判断当前运行路径是否为配置文件中设置的路径,若不是则拷贝自身到该路径启动执行:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

随后关闭附件检查器和防火墙:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

并开启键盘记录线程,将键盘记录的结果写入注册表:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

开启通信线程,与C&C地址建立通信并接受命令执行:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

该njRAT远控还具有远程SHELL、插件下载执行、远程桌面、文件管理等多个功能:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

Android平台样本分析

360威胁情报中心通过VirusTotal还关联到了“黄金鼠”(APT-C-27)APT组织最近使用的多个Android平台的恶意样本,其同样使用了82.137.255.56作为C&C地址(82.137.255.56:1740):

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

而近期关联到的Android平台后门样本主要伪装为Android系统更新、Office升级程序等常用软件。我们以伪装为Office升级程序的Android样本为例进行了分析,相关分析如下:

文件MD5 1cc32f2a351927777fc3b2ae5639f4d5
文件名 OfficeUpdate2019.apk

该Android样本启动后,会诱导用户激活设备管理器,接着隐藏图标并在后台运行:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

诱导用户完成安装后,样本会展示如下界面:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

接着样本将通过Android默认的SharedPreferences存储接口来获取上线的IP地址和端口,如果获取不到,就解码默认的硬编码IP地址和端口上线:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

相关IP地址的解码算法:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

最终解码后的IP地址为:82.137.255.56,端口也是需要把硬编码后的端口加上100来得到最终的端口1740:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

当连接C&C地址成功后,便会发送上线包、接受控制者的命令并执行。该样本具有录音、拍照、GPS定位、上传联系人/通话记录/短信/文件、执行云端命令等功能:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

Android后门样本的相关指令及功能列表如下:

指令 功能
16 心跳打点
17 connect
18 获取指定文件的基本信息
19 下载文件
20 上传文件
21 删除文件
22 按照云端指令复制文件
23 按照云端指令移动文件
24 按照云端指令重命名文件
25 运行文件
28 按照云端指令创建目录
29 执行云端命令
30 执行一次ping命令
31 获取并上传联系人信息
32 获取并上传短信
33 获取并上传通话记录
34 开始录音
35 停止并上传录音文件
36 拍照
37 开始GPS定位
38 停止GPS定位并上传位置信息
39 使用云端发来的ip/port
40 向云端报告当前使用的ip/port
41 获取已安装应用的信息

值得注意的是,在该样本回传的命令信息中包含了阿拉伯语的相关信息,因此我们推测攻击者有较大可能熟悉使用阿拉伯语:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

溯源与关联

通过查询本次捕获的后门程序C&C地址(82.137.255.56:1921)可知,该IP地址自2017年起便多次被APT-C-27(黄金鼠)组织使用,该IP地址疑似为该组织的固有IP资产。通过360网络研究院大数据关联平台可以看到与该IP地址关联的多个样本信息:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

通过360威胁情报中心威胁分析平台(ti.360.net)查询该C&C地址,也被打上了APT-C-27相关的标签:

如何利用WinRAR漏洞针对中东地区的定向攻击活动分析

并且从本次捕获到的相关木马样本(Windows和Android平台)的功能模块、代码逻辑、内置信息语言、目标人群、网络资产等信息都和早前曝光的APT-C-27[2]使用的木马样本信息高度相似。所以360威胁情报中心认为本次截获的相关样本同样也与“黄金鼠”APT组织(APT-C-27)相关。

正如我们的预测,利用WinRAR漏洞(CVE-2018-20250)传播恶意程序的攻击行为正处在爆发阶段,360威胁情报中心此前观察到多个利用此漏洞进行的APT攻击活动,而本次截获的疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞的定向攻击活动仅仅只是众多利用该漏洞实施定向攻击案例中的一例。因此360威胁情报中心再次提醒各用户及时做好该漏洞防护措施。(见“缓解措施”一节)

缓解措施

1、 软件厂商已经发布了最新的WinRAR版本,360威胁情报中心建议用户及时更新升级WinRAR(5.70 beta 1)到最新版本,下载地址如下:

32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2、 如暂时无法安装补丁,可以直接删除漏洞的DLL(UNACEV2.DLL),这样不影响一般的使用,但是遇到ACE的文件会报错。

目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此类攻击的精确检测。

关于“如何利用WinRAR漏洞针对中东地区的定向攻击活动分析”就介绍到这了,更多相关内容可以搜索亿速云以前的文章,希望能够帮助大家答疑解惑,请多多支持亿速云网站!

文章标题:如何利用WinRAR漏洞针对中东地区的定向攻击活动分析,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/27862

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月21日 上午12:16
下一篇 2022年9月21日 上午12:18

相关推荐

  • mysql如何查询存储引擎

    两种查询方法:1、使用“SHOW ENGINES;”语句,可以以表格形式显示系统所支持的引擎类型,其中“Support”列的值表示某种引擎是否能使用,“YES”表示可以使用,“NO”表示不能使用,“DEFAULT”表示该引擎为当前默认引擎。2、使用“SHOW VARIABLES LIKE &#821…

    2022年9月26日
    1.2K00
  • 子网掩码和ip地址的关系介绍

    子网掩码和ip地址的关系:1、子网掩码是用来判断两台计算机的ip地址是否属于同一子网络的根据,也即子网掩码和ip地址可以确定少数地址的关系;2、把子网掩码和ip地址进行二进制换算进行and算法,就是对外的少数地址;3、子网掩码可以用于区分网络地址和主机地址。 子网掩码和ip地址的关系是什么 IP地址…

    2022年9月13日
    1.7K00
  • SpringBoot依赖管理的特性是什么

    1.父依赖parent介绍 pom文件中含有父依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</arti…

    2022年9月21日
    47900
  • 怎么利用idea快速搭建一个springcloud

    package com.example.consumer; import org.springframework.boot.SpringApplication;import org.springframework.boot.autoconfigure.SpringBootApplication;im…

    2022年9月18日
    37700
  • MySQL学习之日期函数怎么使用

    获取 系统时间 函数 “NOW()” 函数 能够获得当前系统日期和时间,格式如下:“YYYY-MM-DD hh:mm:ss” (这里的小时单位是 24 小时制) “CURDATE()” 函数 能够获取到当前系统的日期,格式如下:“YYYY-MM-DD” “CURTIME()” 函数 能够获得当前系统…

    2022年9月2日
    63400
  • 数据库mdf文件怎么还原

    数据库还原mdf文件的方法: 1、打开mssql2008 r2管理器。 2、右击“数据库—>附加”弹出附加操作窗体。 3、点击“添加”加入mdf文件。 4、如果只有mdf文件会显示log未找到。 5、选中log文件,点击“删除”删除log文件。 6、删除后点击“确定”附加数据库。 感谢各位的阅…

    2022年9月8日
    1.3K00
  • MySQL数据库视图的作用是什么

    1 视图的介绍与作用 视图的介绍: 视图 view 是一个虚拟表,非真实存在,其 本质是根据SQL语句获取动态的数据集,并为其命名, 用户使用时只需要使用视图名称即可获取结果集,并可以将其当作表来使用。 数据库中只存放了视图的定义,而并没有存放视图中的数据。 数据还存在于原来的数据表中。 使用视图查…

    2022年9月15日
    1.6K00
  • javac编译找不到文件如何解决

    javac编译找不到文件怎么办: 1、通过”cd“命令切换到java类的存放路径。 2、重新确认java类中的代码编写是否正确。 3、输入”javac 类名.java“,回车,执行运行,如果不报错说明编译正常,如果报错,根据错误修改java类代码即可。 4、输入”java 类名“进行文件运行即可。 …

    2022年9月8日
    1.6K00
  • 静态分析APK文件发现APP应用硬编码密码泄露的示例分析

    今天给大家分享的Writeup是一篇关于安卓APP的静态分析,由于该APP存在不安全存储和硬编码密码泄露问题,导致可以登录其短信管理系统,劫持其短信接口配置,以下为相关分析研究,。 着手开始 由于众测项目范围涉及到相关厂商的某款安卓APP,所以我就在我的安卓手机中下载了这款APP应用,并把其APK文…

    2022年9月15日
    87500
  • windows steam错误代码105如何解决

    steam错误代码105解决方法: 1、首先打开steam设置,然后点击左侧的“网页浏览器”。 2、然后选择“删除网页浏览器缓存”,再点击“删除所有浏览器cookie”。 3、右击右下角网络,点击属性然后进入网络选项,双击“Internet协议版本4”。 4、随后可以进入dns修改界面,此时可以设置…

    2022年8月31日
    1.5K00
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部