Analyse de la manière d'utiliser la vulnérabilité WinRAR pour cibler des activités d'attaque ciblées au Moyen-Orient

Contexte

Le 17 mars 2019, le 360 ​​​​Threat Intelligence Center a intercepté une organisation APT présumée « Golden Rat » (APT-C-27) en utilisant la vulnérabilité WinRAR (CVE-2018-20250[6]) pour cibler le Moyen-Orient. Échantillon d’attaque. Le package compressé ACE malveillant contient un document Office Word qui utilise une attaque terroriste comme appât pour inciter la victime à décompresser le fichier. Lorsque la victime décompresse le fichier via WinRAR sur l'ordinateur local, la vulnérabilité sera déclenchée. exploitée avec succès, la vulnérabilité sera intégrée. Le programme de porte dérobée (Telegram Desktop.exe) est publié dans le répertoire de démarrage de l'ordinateur de l'utilisateur. Lorsque l'utilisateur redémarre ou se connecte au système, le cheval de Troie de contrôle à distance sera exécuté pour contrôler la victime. ordinateur.

360 Threat Intelligence Center a découvert grâce à une analyse de corrélation que cette activité d'attaque est soupçonnée d'être liée à l'organisation APT "Golden Rat" (APT-C-27), et après un traçage et une corrélation plus approfondis, nous en avons également trouvé plusieurs liées à cette organisation. Échantillons malveillants sur la plate-forme Android. Ce type d'échantillon se déguise principalement en logiciel courant pour attaquer des groupes cibles spécifiques. Sur la base du contenu textuel lié à l'attaquant dans le code malveillant, on peut deviner que l'attaquant connaît également l'arabe. .

Détection du programme de porte dérobée (TelegramDesktop.exe) sur VirusTotal

Analyse d'échantillon

360 Threat Intelligence Center a analysé l'échantillon qui exploitait la vulnérabilité WinRAR. L'analyse pertinente est la suivante.

Utilisez des attaques terroristes pour induire la décompression

MD5	314e8105f28530eb0bf54891b9b3ff69
Nom du fichier

Ce document Office Word fait partie d'un fichier compressé malveillant. dossier , qui implique une attaque terroriste. En raison de ses particularités politiques, géographiques et autres, le Moyen-Orient a subi de nombreuses attaques terroristes et ses habitants ont beaucoup souffert. Par conséquent, les habitants de la région sont sensibles aux attaques terroristes et autres incidents, ce qui augmente la possibilité que les victimes décompressent les fichiers :

.

Contenu traduit du document d'appât

Si l'utilisateur décompresse le package compressé malveillant, la vulnérabilité WinRAR sera déclenchée, libérant ainsi le programme de porte dérobée intégré dans le répertoire de démarrage de l'utilisateur :

Lorsque l'utilisateur redémarre l'ordinateur ou se connecte au système, la porte dérobée Telegram Desktop.exe sera exécutée.

Porte arrière (Telegram Desktop.exe)

Nom du fichier	Telegram Desktop.exe
MD5	36027a4abfb702107a103478f6af49be
SHA256	76fd23de8f977f51d832a87d7b0f7692a0ff8af333d74fa5ade2 e99fec010689
Compiler les informations	.NET

Le programme de porte dérobée TelegramDesktop.exe lira les données de la ressource PE et les écrira dans : %TEMP%Telegram Desktop.vbs, puis exécutera le script VBS et dormira pendant 17 secondes jusqu'à ce que le script VBS soit terminé :

La fonction principale de ce script VBS est de décoder la chaîne intégrée via Base64, d'écrire la chaîne décodée dans le fichier : %TEMP%Process.exe, et enfin d'exécuter Process.exe :

Process. exe Après l'exécution, le fichier 1717.txt sera créé dans le répertoire %TEMP%, et les données liées au programme de porte dérobée final exécuté seront écrites pour une utilisation ultérieure par Telegram Desktop.exe :

Puis TelegramDesktop.exe va lire le contenu du fichier 1717.txt et y remplacer les caractères spéciaux :

Puis décoder les données via Base64 et charger les données décodées dans la mémoire :

Enfin les données chargé et exécuté dans la mémoire est le programme de porte dérobée njRAT. Les informations de configuration pertinentes sont les suivantes :

njRAT

Le programme de porte dérobée njRAT chargé et exécuté dans la mémoire créera d'abord un mutex pour garantir qu'un seul l'instance est en cours d'exécution :

Et déterminez si le chemin d'exécution actuel est le chemin défini dans le fichier de configuration. Sinon, copiez-le dans le chemin pour démarrer l'exécution :

Fermez ensuite la pièce jointe. vérificateur et pare-feu :

Et ouvrez le fil de keylogging, écrivez les résultats du keylogging dans le registre :

Ouvrez le fil de communication, établissez la communication avec l'adresse C&C et acceptez l'exécution de la commande :

La télécommande njRAT possède également de multiples fonctions telles que le SHELL à distance, le téléchargement et l'exécution de plug-ins, le bureau à distance, la gestion de fichiers, etc. 360 Threat Intelligence Center est également associé au « Golden Rat » (APT-C-27) via VirusTotal. Des échantillons malveillants de plusieurs plates-formes Android récemment utilisés par l'organisation APT utilisent également 82.137.255.56 comme adresse C&C (82.137.255.56:1740). ):

Les exemples de portes dérobées de la plate-forme Android récemment associés sont principalement déguisés pour les mises à jour du système Android, les programmes de mise à niveau d'Office et d'autres logiciels couramment utilisés. Ce qui suit est notre analyse d'un exemple Android déguisé en programme de mise à niveau d'Office

Nom du fichier

OfficeUpdate2019.apk

Une fois l'exemple Android démarré, il incitera l'utilisateur à activer le gestionnaire de périphériques, puis masquera l'icône et l'exécutera en arrière-plan :

Après avoir incité l'utilisateur à terminer l'installation, l'exemple s'affichera l'interface suivante :

Suivant L'échantillon obtiendra l'adresse IP et le port en ligne via l'interface de stockage SharedPreferences par défaut d'Android. S'il ne peut pas être obtenu, il décodera l'adresse IP et le port codés en dur par défaut pour se connecter. :

Algorithme de décodage de l'adresse IP associée :

L'adresse IP décodée finale est : 82.137.255.56. Le port doit également ajouter 100 à. le port codé en dur pour obtenir le port final 1740 :

Une fois la connexion réussie à l'adresse C&C, les informations en ligne seront envoyées immédiatement, les instructions de contrôle seront reçues et exécutées. Cet exemple est capable d'enregistrer, de prendre des photos, d'effectuer un positionnement GPS, de télécharger des contacts/enregistrements d'appels/messages texte/fichiers et d'exécuter des commandes à partir du cloud. La liste des commandes et fonctions associées de l'exemple de porte dérobée Android est la suivante :

.

CommandesFonctionGestion du rythme cardiaqueconnectez-vousObtenez des informations de base du fichier spécifié Télécharger le fichierTélécharger le fichierSupprimer le fichier Suivez la commande cloud pour copier le fichierSuivez la commande cloud pour déplacer le fichierSuivez la commande cloud pour renommer le fichierExécutez le fichier Créez le répertoire selon la commande cloudExécutez la commande cloudEx exécutez la commande ping une foisObtenir et télécharger des informations de contactObtenir et télécharger des messages texteObtenir et télécharger l'historique des appelsDémarrer l'enregistrementArrêtez et téléchargez le fichier d'enregistrementPrendre des photosDémarrer le positionnement GPSArrêtez le positionnement GPS et téléchargez la position informationsEnvoyé en utilisant l'adresse IP/le port du cloudSignaler l'adresse IP/le port actuellement utilisé au cloudObtenir des informations sur les applications installées

	16
17
18
19
20
21
22
23
24
25
28
29
30
31
32
33
34
35
36
37
38
39
40
41
Il convient de noter que les informations de commande renvoyées par cet exemple contiennent des informations liées à l'arabe, nous supposons donc que l'attaquant est plus susceptible d'être familier avec l'arabe : #🎜 🎜# Traçage et corrélation En interrogeant l'adresse C&C du programme de porte dérobée capturé cette fois (82.137.255.56:1921), il peut être vu que l'adresse IP a été utilisée par l'organisation APT-C-27 (Golden Rat) à plusieurs reprises depuis 2017, et l'adresse IP est soupçonnée d'être l'actif IP inhérent de l'organisation. Sur la plateforme d'association Big Data du 360 Network Research Institute, vous pouvez visualiser plusieurs exemples d'informations associées à l'adresse IP # Recherchez l'adresse C&C via la plateforme d'analyse des menaces du 360 ​​​​Threat Intelligence Center (ti.360.net), et elle a également été étiquetée avec les balises associées à l'APT-C-27 : #🎜 🎜# Et les modules fonctionnels, la logique de code, le langage d'information intégré, le groupe cible, les actifs réseau et d'autres informations des échantillons de chevaux de Troie pertinents (plateformes Windows et Android) capturés cette fois-ci, tous sont liés aux informations sur les exemples de chevaux de Troie utilisés par APT-C-27[2] qui ont été exposés plus tôt et qui sont très similaires. Par conséquent, selon le 360 ​​​​​​Threat Intelligence Center, les échantillons pertinents interceptés cette fois sont également liés à l'organisation APT « Golden Rat » (APT-C-27). Comme nous l'avions prédit, le comportement d'attaque consistant à utiliser la vulnérabilité WinRAR (CVE-2018-20250) pour propager des programmes malveillants est en phase d'épidémie. Le 360 ​​Threat Intelligence Center a déjà observé plusieurs APT utilisant cette vulnérabilité. et les activités d'attaque ciblées interceptées cette fois par l'organisation APT présumée "Golden Rat" (APT-C-27) qui a exploité la vulnérabilité WinRAR ne sont qu'un exemple parmi de nombreux cas d'attaques ciblées utilisant cette vulnérabilité. Par conséquent, le 360 ​​​​​​Threat Intelligence Center rappelle une fois de plus aux utilisateurs de prendre des mesures en temps opportun pour éviter cette vulnérabilité. (Voir la section « Mesures d'atténuation ») Mesures d'atténuation 1. Le fabricant du logiciel a publié la dernière version de WinRAR, et le 360 ​​​​​​Threat Intelligence Center recommande aux utilisateurs mettre à jour et mettre à niveau WinRAR en temps opportun (5.70 bêta 1) Pour la dernière version, l'adresse de téléchargement est la suivante : 32 bits : http://win-rar.com/fileadmin/winrar- versions/wrar57b1.exe 64 bits : http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe 2. Si le correctif ne peut pas être installé temporairement, vous pouvez supprimer directement la DLL vulnérable (UNACEV2 .DLL), cela n'affecte pas l'utilisation générale, mais une erreur sera signalée lors de la rencontre des fichiers ACE. Actuellement, tous les produits basés sur les données de renseignement sur les menaces du 360 Threat Intelligence Center, y compris 360 Threat Intelligence Platform (TIP), Tianqing, le système avancé de détection des menaces Tianyan, 360 NGSOC, etc., prennent tous en charge cela Détection précise d’attaques similaires.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!