Analyse, wie die WinRAR-Schwachstelle genutzt werden kann, um gezielte Angriffsaktivitäten im Nahen Osten anzugreifen

Hintergrund

Am 17. März 2019 hat das 360 Threat Intelligence Center einen Fall einer mutmaßlichen „Golden Rat“-APT-Organisation (APT-C-27) abgefangen, die die WinRAR-Schwachstelle (CVE-2018) nutzte -20250) [6]) Gezielte Angriffsmuster, die auf den Nahen Osten abzielen. Das bösartige ACE-komprimierte Paket enthält ein Office-Word-Dokument, das einen Terroranschlag als Köder nutzt, um das Opfer zum Dekomprimieren der Datei über WinRAR auf dem lokalen Computer zu bewegen Bei erfolgreicher Ausnutzung wird die Sicherheitslücke eingebaut. Das Backdoor-Programm (Telegram Desktop.exe) wird im Startverzeichnis des Computers des Benutzers veröffentlicht. Wenn der Benutzer das System neu startet oder sich anmeldet, wird der Fernsteuerungstrojaner ausgeführt, um das System des Opfers zu kontrollieren Computer.

360 Threat Intelligence Center hat durch Korrelationsanalyse herausgefunden, dass diese Angriffsaktivität vermutlich mit der APT-Organisation „Golden Rat“ (APT-C-27) in Zusammenhang steht, und nach weiterer Rückverfolgung und Korrelation haben wir dies auch getan Mehrere Schadprogramme der Android-Plattform entdeckt, die sich hauptsächlich als gängige Software zum Angriff auf bestimmte Zielgruppen tarnen. In Kombination mit dem Textinhalt, der sich auf den Angreifer im Schadcode bezieht, kann man davon ausgehen, dass dies der Fall ist Der Angreifer beherrscht auch Arabisch. #? 🎜#

360 Threat Intelligence Center analysierte das Beispiel, das die WinRAR-Schwachstelle ausnutzte. Die relevante Analyse lautet wie folgt. #?

MD5

314e8105f28530eb0bf54891b9b3ff69

#🎜 🎜#

Dateiname#🎜 🎜 #

Dieses Office Word-Dokument ist Teil einer bösartigen komprimierten Datei, deren Inhalt einen Terroranschlag beinhaltet. Aufgrund seiner politischen, geografischen und anderen Besonderheiten hat der Nahe Osten zahlreiche Terroranschläge erlitten, und seine Bevölkerung hat stark gelitten. Daher reagieren die Menschen in der Region empfindlich auf Terroranschläge und andere Vorfälle, was die Möglichkeit erhöht, dass Opfer Dateien dekomprimieren: # 🎜🎜## ## Die Sicherheitslücke wird ausgelöst. Geben Sie daher das integrierte Backdoor-Programm im Startverzeichnis des Benutzers frei: wird ausgeführt wenn der Benutzer den Computer neu startet oder sich beim System anmeldet, wird die gelöschte Hintertür Telegram Desktop.exe angezeigt. Hintertür (Telegram Desktop.exe) Telegram Desktop.exe

#🎜🎜 ##🎜🎜 #Dateiname

#🎜 🎜 #MD5#🎜 🎜#
36027a4abfb702107a103478f6af49be

SHA256# 🎜🎜# # 🎜🎜#

76fd23de8f977f51d832a87d7b0f7692a0ff8af333d74fa5ade2e99fec010689# 🎜🎜## 🎜🎜#

Zusammengestellte Informationen

.NET

#🎜 🎜 #

Das Backdoor-Programm TelegramDesktop.exe liest Daten von der PE-Ressource und schreibt sie in: %TEMP%Telegram Desktop.vbs, führt dann das VBS-Skript aus und schläft 17 Sekunden lang, bis das VBS-Skript abgeschlossen ist:

Die Hauptfunktion dieses VBS-Skripts besteht darin, die integrierte Zeichenfolge über Base64 zu dekodieren, die dekodierte Zeichenfolge in die Datei %TEMP%Process.exe zu schreiben und schließlich Process.exe auszuführen:

Process. exe Nach der Ausführung wird die Datei 1717.txt im Verzeichnis %TEMP% erstellt und Daten zum endgültig ausgeführten Backdoor-Programm werden für die spätere Verwendung durch Telegram Desktop.exe geschrieben:

Dann TelegramDesktop.exe liest den Inhalt der Datei 1717.txt und ersetzt die darin enthaltenen Sonderzeichen:

Dann dekodieren Sie die Daten über Base64 und laden die dekodierten Daten in den Speicher:

Endlich die Daten Das im Speicher geladene und ausgeführte njRAT-Backdoor-Programm lautet wie folgt:

njRAT

Das im Speicher geladene und ausgeführte njRAT-Backdoor-Programm erstellt zunächst einen Mutex, um sicherzustellen, dass nur einer vorhanden ist Instanz ausgeführt wird:

Und ermitteln Sie, ob der aktuell ausgeführte Pfad der in der Konfigurationsdatei festgelegte Pfad ist. Wenn nicht, kopieren Sie sich selbst in den Pfad, um die Ausführung zu starten:

Schließen Sie dann den Anhang Checker und Firewall:

Und öffnen Sie den Keylogging-Thread, schreiben Sie die Ergebnisse des Keyloggings in die Registry:

Öffnen Sie den Kommunikationsthread, stellen Sie die Kommunikation mit der C&C-Adresse her und akzeptieren Sie die Befehlsausführung :

Die njRAT-Fernbedienung verfügt außerdem über mehrere Funktionen wie Remote-Shell, Plug-In-Download und -Ausführung, Remote-Desktop, Dateiverwaltung usw.:

Beispielanalyse für die Android-Plattform

360 Threat Intelligence Center wird über VirusTotal auch mit der „Goldenen Ratte“ (APT-C-27) in Verbindung gebracht. Schädliche Beispiele mehrerer Android-Plattformen, die kürzlich von der APT-Organisation verwendet wurden, verwenden ebenfalls 82.137.255.56 als C&C-Adresse (82.137.255.56: 1740):

Die kürzlich verbundenen Backdoor-Beispiele für die Android-Plattform werden hauptsächlich für Android-Systemaktualisierungen, Office-Upgrade-Programme und andere häufig verwendete Software getarnt. Das Folgende ist unsere Analyse eines Android-Beispiels, das als Office-Upgrade getarnt ist

DateinameOfficeUpdate2019.apk

Nachdem das Android-Beispiel gestartet wurde, wird der Benutzer aufgefordert, den Geräte-Manager zu aktivieren, dann das Symbol auszublenden und es im Hintergrund auszuführen:

# 🎜🎜#

Nachdem der Benutzer aufgefordert wurde, die Installation abzuschließen, zeigt das Beispiel die folgende Oberfläche an:

#🎜 🎜#
Dann wird das Beispiel an die standardmäßige SharedPreferences-Speicherschnittstelle von Android übergeben, um die Online-IP-Adresse und den Port abzurufen. Wenn es nicht abgerufen werden kann, dekodieren Sie die standardmäßige fest codierte IP-Adresse und den Port online:

# 🎜🎜#

Dekodierungsalgorithmus für zugehörige IP-Adresse:

#🎜🎜 #

Die endgültige dekodierte IP-Adresse lautet: 82.137.255.56. codierter Port um 100, um den endgültigen Port 1740 zu erhalten: #🎜 🎜#

Sobald die Verbindung zur C&C-Adresse erfolgreich hergestellt wurde, wird sie sofort hergestellt Online-Informationen versenden, Steueranweisungen empfangen und diese ausführen. Dieses Beispiel kann aufzeichnen, Fotos aufnehmen, GPS-Positionierung durchführen, Kontakte/Anrufaufzeichnungen/Textnachrichten/Dateien hochladen und Befehle aus der Cloud und anderen Funktionen ausführen

# 🎜 🎜#

Die Liste der zugehörigen Befehle und Funktionen des Android-Backdoor-Beispiels lautet wie folgt:

BefehlFunktionHerzschlag 🎜 #17# 🎜 🎜# connect18Get basic Informationen zur angegebenen Datei 19Datei herunterladen22#🎜🎜 #23# 🎜🎜#Benennen Sie die Datei gemäß den Cloud-Anweisungen um#🎜 🎜#25# 🎜🎜#Datei ausführen30 #🎜 🎜 #313233#🎜🎜 ## 🎜🎜#Aufnahme starten#🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#35# 🎜🎜 #🎜🎜# Laden Sie die Aufnahmedatei hoch #4041#🎜🎜 #

Es ist erwähnenswert, dass die von diesem Beispiel zurückgegebenen Befehlsinformationen Informationen im Zusammenhang mit Arabisch enthalten. Wir spekulieren daher, dass der Angreifer eher mit der Verwendung von Arabisch vertraut ist:

#🎜 🎜#

Tracing and Correlation

Durch Abfrage der C&C-Adresse des diesmal erfassten Backdoor-Programms (82.137.255.56:1921) kann dies der Fall sein gesehen, dass die IP-Adresse seit 2017 mehrfach von der Organisation APT-C-27 (Golden Rat) verwendet wurde und vermutet wird, dass es sich bei der IP-Adresse um das inhärente IP-Asset der Organisation handelt. Auf der Big-Data-Assoziationsplattform des 360 Network Research Institute können Sie mehrere Beispielinformationen anzeigen, die mit der IP-Adresse

# 🎜🎜 verknüpft sind # Fragen Sie die C&C-Adresse über die 360 ​​​​Threat Intelligence Center Threat Analysis Platform (ti.360.net) ab. Sie wurde auch mit APT-C-27-bezogenen Tags gekennzeichnet:

#🎜 🎜#

Und die Funktionsmodule, Codelogik, integrierte Informationssprache, Zielgruppe, Netzwerkressourcen und andere Informationen der relevanten Trojaner-Beispiele (Windows- und Android-Plattformen) wurden erfasst Dieses Mal sind alle von APT-C-27[2] verwendeten Trojaner-Beispielinformationen, die zuvor offengelegt wurden, sehr ähnlich. Daher stehen nach Angaben des 360 Threat Intelligence Center die relevanten Proben, die dieses Mal abgefangen wurden, auch im Zusammenhang mit der APT-Organisation „Golden Rat“ (APT-C-27).

Wie wir vorhergesagt haben, hat das 360 Threat Intelligence Center bereits mehrere APTs beobachtet, die diese Schwachstelle nutzen Aktivitäten und die gezielten Angriffsaktivitäten, die dieses Mal von der mutmaßlichen „Golden Rat“-APT-Organisation (APT-C-27) abgefangen wurden, die die WinRAR-Schwachstelle ausnutzte, sind nur ein Beispiel für viele Fälle gezielter Angriffe, die diese Schwachstelle ausnutzen. Daher erinnert das 360 ​​Threat Intelligence Center die Benutzer erneut daran, rechtzeitig Maßnahmen zu ergreifen, um diese Schwachstelle zu verhindern. (Siehe Abschnitt „Abwehrmaßnahmen“)

Abwehrmaßnahmen

1 Der Softwarehersteller hat die neueste WinRAR-Version veröffentlicht und das 360 ​​Threat Intelligence Center empfiehlt diesen Benutzern Aktualisieren und aktualisieren Sie WinRAR rechtzeitig (5.70 Beta 1). Die Download-Adresse für die neueste Version lautet wie folgt:

32 Bit: http://win-rar.com/fileadmin/winrar- versionen/wrar57b1.exe

64-Bit: http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2. Wenn der Patch vorübergehend nicht installiert werden kann, können Sie die anfällige DLL (UNACEV2 .DLL) direkt löschen. Dies hat keine Auswirkungen auf die allgemeine Verwendung, es wird jedoch ein Fehler gemeldet, wenn Sie auf ACE-Dateien stoßen.

Derzeit unterstützen alle Produkte, die auf den Bedrohungsdaten des 360 Threat Intelligence Center basieren, einschließlich 360 Threat Intelligence Platform (TIP), Tianqing, Tianyan Advanced Threat Detection System, 360 NGSOC usw., dies Präzise Erkennung ähnlicher Angriffe.

#🎜🎜 # #🎜 🎜#	16
#🎜 🎜##🎜 🎜 #20	Datei hochladen
21#🎜 🎜# # 🎜🎜#Datei löschen
Kopieren Sie die Datei entsprechend der Cloud Anweisungen
Folgen Sie den Cloud-Anweisungen, um Dateien zu verschieben	#🎜🎜 #24
28	#🎜🎜 # Befolgen Sie die Cloud-Anweisungen, um das Verzeichnis zu erstellen 🎜#
Führen Sie einen Ping-Befehl aus
Kontaktinformationen abrufen und hochladen
#🎜 🎜#Textnachrichten abrufen und hochladen
Anrufaufzeichnungen abrufen und hochladen# 🎜🎜#	34
# 🎜🎜#37	GPS-Positionierung starten
# 38# #Senden über die Cloud Die IP/der Port
meldet die aktuell verwendete IP/Port zur Cloud
Informationen über installierte Apps erhalten #🎜 🎜#

Das obige ist der detaillierte Inhalt vonAnalyse, wie die WinRAR-Schwachstelle genutzt werden kann, um gezielte Angriffsaktivitäten im Nahen Osten anzugreifen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!