Maison >Opération et maintenance >Sécurité >Analyse de la manière d'utiliser la vulnérabilité WinRAR pour cibler des activités d'attaque ciblées au Moyen-Orient

Analyse de la manière d'utiliser la vulnérabilité WinRAR pour cibler des activités d'attaque ciblées au Moyen-Orient

王林
王林avant
2023-05-30 08:55:461099parcourir

Contexte

Le 17 mars 2019, le 360 ​​​​Threat Intelligence Center a intercepté une organisation APT présumée « Golden Rat » (APT-C-27) en utilisant la vulnérabilité WinRAR (CVE-2018-20250[6]) pour cibler le Moyen-Orient. Échantillon d’attaque. Le package compressé ACE malveillant contient un document Office Word qui utilise une attaque terroriste comme appât pour inciter la victime à décompresser le fichier. Lorsque la victime décompresse le fichier via WinRAR sur l'ordinateur local, la vulnérabilité sera déclenchée. exploitée avec succès, la vulnérabilité sera intégrée. Le programme de porte dérobée (Telegram Desktop.exe) est publié dans le répertoire de démarrage de l'ordinateur de l'utilisateur. Lorsque l'utilisateur redémarre ou se connecte au système, le cheval de Troie de contrôle à distance sera exécuté pour contrôler la victime. ordinateur.

360 Threat Intelligence Center a découvert grâce à une analyse de corrélation que cette activité d'attaque est soupçonnée d'être liée à l'organisation APT "Golden Rat" (APT-C-27), et après un traçage et une corrélation plus approfondis, nous en avons également trouvé plusieurs liées à cette organisation. Échantillons malveillants sur la plate-forme Android. Ce type d'échantillon se déguise principalement en logiciel courant pour attaquer des groupes cibles spécifiques. Sur la base du contenu textuel lié à l'attaquant dans le code malveillant, on peut deviner que l'attaquant connaît également l'arabe. .


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Détection du programme de porte dérobée (TelegramDesktop.exe) sur VirusTotal

Analyse d'échantillon

360 Threat Intelligence Center a analysé l'échantillon qui exploitait la vulnérabilité WinRAR. L'analyse pertinente est la suivante.

Utilisez des attaques terroristes pour induire la décompression

MD5 314e8105f28530eb0bf54891b9b3ff69
Nom du fichier

Ce document Office Word fait partie d'un fichier compressé malveillant. dossier , qui implique une attaque terroriste. En raison de ses particularités politiques, géographiques et autres, le Moyen-Orient a subi de nombreuses attaques terroristes et ses habitants ont beaucoup souffert. Par conséquent, les habitants de la région sont sensibles aux attaques terroristes et autres incidents, ce qui augmente la possibilité que les victimes décompressent les fichiers :

.


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Contenu traduit du document d'appât

Si l'utilisateur décompresse le package compressé malveillant, la vulnérabilité WinRAR sera déclenchée, libérant ainsi le programme de porte dérobée intégré dans le répertoire de démarrage de l'utilisateur :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Lorsque l'utilisateur redémarre l'ordinateur ou se connecte au système, la porte dérobée Telegram Desktop.exe sera exécutée.

Porte arrière (Telegram Desktop.exe)

Nom du fichier Telegram Desktop.exe
MD5 36027a4abfb702107a103478f6af49be
SHA256 76fd23de8f977f51d832a87d7b0f7692a0ff8af333d74fa5ade2 e99fec010689
Compiler les informations .NET

Le programme de porte dérobée TelegramDesktop.exe lira les données de la ressource PE et les écrira dans : %TEMP%Telegram Desktop.vbs, puis exécutera le script VBS et dormira pendant 17 secondes jusqu'à ce que le script VBS soit terminé :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

La fonction principale de ce script VBS est de décoder la chaîne intégrée via Base64, d'écrire la chaîne décodée dans le fichier : %TEMP%Process.exe, et enfin d'exécuter Process.exe :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Process. exe Après l'exécution, le fichier 1717.txt sera créé dans le répertoire %TEMP%, et les données liées au programme de porte dérobée final exécuté seront écrites pour une utilisation ultérieure par Telegram Desktop.exe :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Puis TelegramDesktop.exe va lire le contenu du fichier 1717.txt et y remplacer les caractères spéciaux :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Puis décoder les données via Base64 et charger les données décodées dans la mémoire :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Enfin les données chargé et exécuté dans la mémoire est le programme de porte dérobée njRAT. Les informations de configuration pertinentes sont les suivantes :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

njRAT

Le programme de porte dérobée njRAT chargé et exécuté dans la mémoire créera d'abord un mutex pour garantir qu'un seul l'instance est en cours d'exécution :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Et déterminez si le chemin d'exécution actuel est le chemin défini dans le fichier de configuration. Sinon, copiez-le dans le chemin pour démarrer l'exécution :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Fermez ensuite la pièce jointe. vérificateur et pare-feu :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Et ouvrez le fil de keylogging, écrivez les résultats du keylogging dans le registre :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Ouvrez le fil de communication, établissez la communication avec l'adresse C&C et acceptez l'exécution de la commande :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

La télécommande njRAT possède également de multiples fonctions telles que le SHELL à distance, le téléchargement et l'exécution de plug-ins, le bureau à distance, la gestion de fichiers, etc. 360 Threat Intelligence Center est également associé au « Golden Rat » (APT-C-27) via VirusTotal. Des échantillons malveillants de plusieurs plates-formes Android récemment utilisés par l'organisation APT utilisent également 82.137.255.56 comme adresse C&C (82.137.255.56:1740). ):


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Les exemples de portes dérobées de la plate-forme Android récemment associés sont principalement déguisés pour les mises à jour du système Android, les programmes de mise à niveau d'Office et d'autres logiciels couramment utilisés. Ce qui suit est notre analyse d'un exemple Android déguisé en programme de mise à niveau d'Office

Nom du fichier


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-OrientOfficeUpdate2019.apk

Une fois l'exemple Android démarré, il incitera l'utilisateur à activer le gestionnaire de périphériques, puis masquera l'icône et l'exécutera en arrière-plan :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Après avoir incité l'utilisateur à terminer l'installation, l'exemple s'affichera l'interface suivante :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Suivant L'échantillon obtiendra l'adresse IP et le port en ligne via l'interface de stockage SharedPreferences par défaut d'Android. S'il ne peut pas être obtenu, il décodera l'adresse IP et le port codés en dur par défaut pour se connecter. :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Algorithme de décodage de l'adresse IP associée :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

L'adresse IP décodée finale est : 82.137.255.56. Le port doit également ajouter 100 à. le port codé en dur pour obtenir le port final 1740 :


Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Une fois la connexion réussie à l'adresse C&C, les informations en ligne seront envoyées immédiatement, les instructions de contrôle seront reçues et exécutées. Cet exemple est capable d'enregistrer, de prendre des photos, d'effectuer un positionnement GPS, de télécharger des contacts/enregistrements d'appels/messages texte/fichiers et d'exécuter des commandes à partir du cloud. La liste des commandes et fonctions associées de l'exemple de porte dérobée Android est la suivante :

.
Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

CommandesFonctionGestion du rythme cardiaqueconnectez-vousObtenez des informations de base du fichier spécifié Télécharger le fichierTélécharger le fichierSupprimer le fichier Suivez la commande cloud pour copier le fichierSuivez la commande cloud pour déplacer le fichierSuivez la commande cloud pour renommer le fichierExécutez le fichier Créez le répertoire selon la commande cloudExécutez la commande cloudEx exécutez la commande ping une foisObtenir et télécharger des informations de contactObtenir et télécharger des messages texteObtenir et télécharger l'historique des appelsDémarrer l'enregistrementArrêtez et téléchargez le fichier d'enregistrementPrendre des photosDémarrer le positionnement GPSArrêtez le positionnement GPS et téléchargez la position informationsEnvoyé en utilisant l'adresse IP/le port du cloudSignaler l'adresse IP/le port actuellement utilisé au cloudObtenir des informations sur les applications installées
16
17
18
19
20
21
22
23
24
25
28
29
30
31
32
33
34
35
36
37
38
39
40
41

Il convient de noter que les informations de commande renvoyées par cet exemple contiennent des informations liées à l'arabe, nous supposons donc que l'attaquant est plus susceptible d'être familier avec l'arabe :

#🎜 🎜#
Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient

Traçage et corrélation

En interrogeant l'adresse C&C du programme de porte dérobée capturé cette fois (82.137.255.56:1921), il peut être vu que l'adresse IP a été utilisée par l'organisation APT-C-27 (Golden Rat) à plusieurs reprises depuis 2017, et l'adresse IP est soupçonnée d'être l'actif IP inhérent de l'organisation. Sur la plateforme d'association Big Data du 360 Network Research Institute, vous pouvez visualiser plusieurs exemples d'informations associées à l'adresse IP # Recherchez l'adresse C&C via la plateforme d'analyse des menaces du 360 ​​​​Threat Intelligence Center (ti.360.net), et elle a également été étiquetée avec les balises associées à l'APT-C-27 :

#🎜 🎜#
Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient
Et les modules fonctionnels, la logique de code, le langage d'information intégré, le groupe cible, les actifs réseau et d'autres informations des échantillons de chevaux de Troie pertinents (plateformes Windows et Android) capturés cette fois-ci, tous sont liés aux informations sur les exemples de chevaux de Troie utilisés par APT-C-27[2] qui ont été exposés plus tôt et qui sont très similaires. Par conséquent, selon le 360 ​​​​​​Threat Intelligence Center, les échantillons pertinents interceptés cette fois sont également liés à l'organisation APT « Golden Rat » (APT-C-27).

Comme nous l'avions prédit, le comportement d'attaque consistant à utiliser la vulnérabilité WinRAR (CVE-2018-20250) pour propager des programmes malveillants est en phase d'épidémie. Le 360 ​​Threat Intelligence Center a déjà observé plusieurs APT utilisant cette vulnérabilité. et les activités d'attaque ciblées interceptées cette fois par l'organisation APT présumée "Golden Rat" (APT-C-27) qui a exploité la vulnérabilité WinRAR ne sont qu'un exemple parmi de nombreux cas d'attaques ciblées utilisant cette vulnérabilité. Par conséquent, le 360 ​​​​​​Threat Intelligence Center rappelle une fois de plus aux utilisateurs de prendre des mesures en temps opportun pour éviter cette vulnérabilité. (Voir la section « Mesures d'atténuation »)

Mesures d'atténuation
Analyse de la manière dutiliser la vulnérabilité WinRAR pour cibler des activités dattaque ciblées au Moyen-Orient1. Le fabricant du logiciel a publié la dernière version de WinRAR, et le 360 ​​​​​​Threat Intelligence Center recommande aux utilisateurs mettre à jour et mettre à niveau WinRAR en temps opportun (5.70 bêta 1) Pour la dernière version, l'adresse de téléchargement est la suivante :

32 bits : http://win-rar.com/fileadmin/winrar- versions/wrar57b1.exe

64 bits : http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2. Si le correctif ne peut pas être installé temporairement, vous pouvez supprimer directement la DLL vulnérable (UNACEV2 .DLL), cela n'affecte pas l'utilisation générale, mais une erreur sera signalée lors de la rencontre des fichiers ACE.

Actuellement, tous les produits basés sur les données de renseignement sur les menaces du 360 Threat Intelligence Center, y compris 360 Threat Intelligence Platform (TIP), Tianqing, le système avancé de détection des menaces Tianyan, 360 NGSOC, etc., prennent tous en charge cela Détection précise d’attaques similaires.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Cet article est reproduit dans:. en cas de violation, veuillez contacter admin@php.cn Supprimer