黑客利用Excel文件來執行ChainShot惡意軟體攻擊

研究人員發現，該 Flash 應用程式其實是一個混淆的下載器：

程式會在記憶體中建立一個隨機的 512-bit RSA 金鑰對，將私鑰保留在記憶體中、並將公鑰傳送到攻擊者的伺服器，以加密 AES 金鑰（用於加密有效負載）。

之後將加密的有效負載和現有的私鑰傳送到下載程式，以解密128位AES金鑰和有效負載。Palo Alto Networks Unit 42 的研究人員破解了加密，並分享了他們的破解方法。

儘管私鑰僅保留在記憶體中，但公鑰的模數 n 被髮送到了攻擊者的伺服器。

在伺服器端，模數與硬編碼指數 e 0x10001 一起使用，以加密此前用於加密漏洞和 shellcode 有效載荷的128-bit AES 金鑰。

一旦研究人員解密了 128-bit AES 金鑰，就能夠解密有效負載。

獲得 RWE 許可權之後，執行就會傳遞給 shellcode，然後在內部載入一個名為 FirstStageDropper.dll 的嵌入式 DLL 。

最後，研究人員分享了感染指徵（Indicators of Compromise）：

Adobe Flash Downloader

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Adobe Flash Exploit（CVE-2018-5002）

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

[編譯自：MSPU , 來源：Palo Alto Networks]

看雪閱讀推薦：

1、[原創] 《軟體除錯》分頁機制windbg例子分析（各種填坑）

2、[原創]ESP定律脫殼卡巴斯基Sality專殺程式

3、[翻譯]在IDA中使用Python Z3庫來簡化函式中的算術運算

4、[翻譯]用java建立你的第一個區塊鏈（第二部分）

5、[分享]很有時間系列：一種比較奇怪的啟動方法