大家好,今天小编来为大家解答以下的问题,关于首个充分利用WinRAR漏洞进行传播的恶意样本分析,这个很多人还不知道,现在让我们一起来看看吧!
2019年2月22日,漏洞披露仅一天多,360威胁情报中心就截获了第一个利用WinRAR漏洞(CVE-2018-20250)传播木马程序的恶意ACE文件。恶意压缩文件名为ModifiedVersion3.rar,并通过电子邮件发送。当受害者在本地计算机上通过WinRAR解压文件时,就会触发该漏洞。该漏洞成功利用后,内置木马程序将被写入用户计算机。在全局启动项目录中,如果任何用户重新启动系统,就会执行木马程序,导致计算机被控制。
VirusTotal 上的示例检测状态
样品分析
滴管(修改版3.rar)
捕获的恶意压缩文件名为ModifiedVersion3.rar并通过电子邮件发送:
RAR 文件实际上是一个易受攻击的ACE 格式压缩文件。文件中解压目标的相对路径(文件名)被攻击者修改为全局启动项目目录:
一旦用户在本地计算机上使用WinRAR解压文件,就会触发该漏洞。漏洞成功利用后,内置木马程序将被写入用户计算机的全局启动项目目录中:
C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup\ CMSTray.exe
编写全局启动项和限制
虽然恶意样本利用巧妙(通过将木马写入固定的全局启动地址进行持久化),但写入操作需要用户计算机关闭UAC(用户帐户控制)才能写入成功,否则会在写入过程中被删除。减压。将出现以下错误消息:
后门(CMSTray.exe)
释放到全局启动目录的木马程序是一个伪装成Office Word文档图标的可执行文件:CMSTray.exe。木马会解密内存中的ShellCode。该ShellCode的主要功能是下载hxxp://138.204.171.108/BxjL5iKld8.zip文件并解密为另一个ShellCode:
随后的ShellCode是使用MetaSploit生成的。 ShellCode执行后,连接CC地址138.204.171.108:443。
漏洞分析
该漏洞是由于解析ace处理相关DLL中解压目标的相对路径(文件名)时,CleanPath函数过滤路径不严造成的:
例如,对于以下路径:
C:\C:C:/AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe
调用该函数后
CleanPath("C:\C:C:/AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe")
步骤1之后:
C:C:/AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe
步骤2之后:
C:/AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe
步骤3之后:
此时,由于C:使用的是“./”而不是“.\”,因此不会进入while循环,直接返回。
最终返回的结果是:
C:/AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe
该路径可以直接实现路径遍历:
缓解措施
1.目前,软件厂商已经发布了最新的WinRAR版本。 360威胁情报中心建议用户及时更新升级WinRAR(5.70 beta 1)至最新版本。下载地址如下:
32 位:
http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe
64 位:
http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe
2、如果暂时无法安装补丁,可以直接删除存在漏洞的DLL(UNACEV2.DLL)。这个不会影响一般使用,但是遇到ace文件就会报错。
目前,基于360威胁情报中心的威胁情报数据的全系列产品,包括360威胁情报平台(TIP)、天眼高级威胁检测系统、360 NGSOC等,都支持此类攻击的精准检测。
参考链接
[1].https://research.checkpoint.com/extracting-code-execution-from-winrar/
[2].https://twitter.com/360TIC/status/1099987939818299392
用户评论
卧槽!这也太吓人了!winRAR这种软件居然会出漏洞被攻击?以后还是小心一点吧,自己都不想下载未知来源的文件了...
有17位网友表示赞同!
之前没看过这么详细的漏洞分析报告,受益匪浅。 作者解释得很好,让我也明白怎么保护好自己系统的安全了。
有17位网友表示赞同!
这也太厉害了吧!居然还能利用winrar传播恶意程序,看来病毒黑客的攻击手段越来越高明了,防不胜防啊!
有18位网友表示赞同!
我之前也有过类似的情况,不知道是不是同一个漏洞,还好及时处理了,不然后果不堪设想。这份报告真的很有帮助,可以提醒其他用户做好防范措施!
有16位网友表示赞同!
说起来winrar的软件更新频率还是挺慢的,官方应该加紧修复这些漏洞啊!我们广大用户也很希望得到及时保护!
有15位网友表示赞同!
看了分析报告之后,我更加警惕未知来源文件的下载了,真的要小心谨慎才能避免被恶意样本攻击。感谢作者分享这方面的经验,帮助大家提升安全意识!
有16位网友表示赞同!
这么详细的漏洞解说真的很厉害啊!看得出作者很有技术功底,佩服!
有17位网友表示赞同!
感觉有点吓人,还是得定期检查一下电脑的安全状况,确认系统的防护措施是否有效。 这份报告提醒了我要注意安全问题...
有19位网友表示赞同!
winrar这么常用的软件居然会有漏洞,让人有些失望啊。希望官方能够重视这个问题,尽快修复漏洞,保障用户的安全!
有12位网友表示赞同!
这份分析报告太棒了!不仅解释得很清楚,而且还提供了一些防范措施,非常实用! 我现在更加明白了如何保护我的系统安全了。
有20位网友表示赞同!
黑客手段越来越厉害了, 真是让人头疼! 这种利用软件漏洞传播恶意代码的攻击方式确实很危险。我们得提高警惕!
有8位网友表示赞同!
我平时很少下载未知来源的文件,但这份报告让我更加明确了一点:网络安全不能放松警惕!应该多学习一些相关的知识, 降低自己被攻击的风险。
有18位网友表示赞同!
winrar漏洞传播的恶意样本?太吓人了!希望官方能尽快修复这个问题,给用户一个安全的软件环境!
有18位网友表示赞同!
看到这分析报告,我更加坚定自己要学习更多关于网络安全方面的知识了。
有15位网友表示赞同!
这份报告提醒了我一定要保持警惕, 不轻易打开不明来文件!
有18位网友表示赞同!
文章写的很专业,对winrar漏洞的描述非常详细。 希望能引起官方重视,尽快修复漏洞 !
有16位网友表示赞同!
黑客太坏了吧! 竟然利用我们常用的软件传播恶意代码,真是令人气愤! 希望更多人能够了解这个问题,提高自身安全意识!
有17位网友表示赞同!