黑客利用Excel文件來執行ChainShot惡意軟體攻擊

Editor發表於2018-09-12
黑客ExcelAI
警告!

針對近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已經出現了一款名叫 CHAINSHOT 的惡意軟體攻擊。其利用微軟 Excel 檔案包含的微型 Shockwave Flash ActiveX 物件、以及一個所謂的“電影”的 URL 連結,忽悠人們去下載 Flash 應用程式。研究人員攻破了其採用的 512-bit RSA 金鑰,從而揭開了它的神祕面紗。
  黑客利用Excel文件來執行ChainShot惡意軟體攻擊

研究人員發現,該 Flash 應用程式其實是一個混淆的下載器:


程式會在記憶體中建立一個隨機的 512-bit RSA 金鑰對,將私鑰保留在記憶體中、並將公鑰傳送到攻擊者的伺服器,以加密 AES 金鑰(用於加密有效負載)。

黑客利用Excel文件來執行ChainShot惡意軟體攻擊

之後將加密的有效負載和現有的私鑰傳送到下載程式,以解密128位AES金鑰和有效負載。Palo Alto Networks Unit 42 的研究人員破解了加密,並分享了他們的破解方法。


儘管私鑰僅保留在記憶體中,但公鑰的模數 n 被髮送到了攻擊者的伺服器。


在伺服器端,模數與硬編碼指數 e 0x10001 一起使用,以加密此前用於加密漏洞和 shellcode 有效載荷的128-bit AES 金鑰。

黑客利用Excel文件來執行ChainShot惡意軟體攻擊
揭祕 shellcode 有效載荷的 HTTP POST 請求(其模數 n 為十六進位制)

一旦研究人員解密了 128-bit AES 金鑰,就能夠解密有效負載。


獲得 RWE 許可權之後,執行就會傳遞給 shellcode,然後在內部載入一個名為 FirstStageDropper.dll 的嵌入式 DLL 。


最後,研究人員分享了感染指徵(Indicators of Compromise):

Adobe Flash Downloader

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Adobe Flash Exploit(CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497


[編譯自:MSPU , 來源:Palo Alto Networks]



看雪閱讀推薦:


1、[原創] 《軟體除錯》分頁機制windbg例子分析(各種填坑)


2、[原創]ESP定律脫殼卡巴斯基Sality專殺程式


3、[翻譯]在IDA中使用Python Z3庫來簡化函式中的算術運算


4、[翻譯]用java建立你的第一個區塊鏈(第二部分)


5、[分享]很有時間系列:一種比較奇怪的啟動方法


相關文章