一、概述
自从WinRAR被爆出存在高危漏洞(CVE-2018-20250)以来,因为该漏洞简单易用,备受攻击者青睐。攻击者精心构造恶意ACE文件进行投递后,只要受害者解压文件,然后重启电脑,系统便会自动执行攻击者投递的恶意木马。近日,腾讯御见威胁情报中心捕获到几例利用CVE-2018-20250漏洞进行传播的新样本,具体分析见下文。
二、样本分析
1、利用多重压缩包嵌套企图逃避杀毒软件的查杀,同时通过投递多个木马增加木马被执行的概率,相关分析如下:
|
MD5 |
文件名 |
|
e2a487784661d19442c71a2ef8ef0256 |
2019-bitcoin-tricks-pdf-book.zip |
样本母体包含了一个压缩包文件project.zip和الشرح.scr。الشرح.scr是伪装成屏保文件的Androm后门木马,project.zip则为实际利用CVE-2018-20250漏洞的恶意ACE文件,解压即可看到它在系统启动项目录释放名为int-driver.exe的Androm后门木马。Androm木马通常从C2服务器接收攻击者指令,根据指令盗取受害主机数据,或者投递其他恶意木马。
2、压缩包内包含大量热门游戏账号密码,或暗网泄露的google邮箱账号密码,诱导受害者解压恶意文件,相关分析如下:
|
MD5 |
文件名 |
|
5c3fe67603e0ae93f1b728edc03c6ab2 |
SMASH_Fornite_Logs.rar |
|
432fe2822e61f155d50ae543bd7e712b |
1mill_USA_EmailPW.rar |
以样本5c3fe67603e0ae93f1b728edc03c6ab2为例进行分析。Fornite(堡垒之夜)是一款非常热门的第三人称射击游戏,而”Smash Fornite Dance”则是堡垒之夜中风靡一时的舞蹈挑战,想要角色跳出不同的舞蹈动作,需要游戏账号有相应的皮肤。攻击者以此为诱饵,欺骗目标用户解压。
压缩包中包含了多个txt文件,每个txt文件按照皮肤分类命名,而每个txt文件又包含了大量明文的账号密码。
如果受害者对这些大量的游戏账号密码感兴趣,则很有可能进行解压操作。解压后Tinynuke银行木马将会被释放到系统启动项目录。
TinyNuke(又名Nuclear Bot)是一个功能非常强大的银行木马。它具备反向sock代理、隐藏CNC、UAC绕过、Windows防火墙绕过、Rootkit等功能模块。除此之外,它还可以在受害者访问银行网站时窃取密码并注入任何内容,同时还自带了Bot-killer(一种迷你防火墙),用于清除受害主机上的其他恶意软件。
3、伪装成报价单的恶意ACE文件样本
|
MD5 |
邮件主题 |
|
caf56379df8f73d165045c9b43408a6a |
RE:Request for quotation |
攻击者伪装成Elite公司的员工向位于巴西的服装公司piabacamisas发送钓鱼邮件,并索要报价单,邮件附件为“Purchased Order.ace“文件。
解压该ACE文件后,并没有像预期一样,释放恶意木马到系统启动项目录。将该ACE文件与CVE-2018-20250漏洞利用文件进行对比,发现“Purchased Order.ace“并不是有效的CVE-2018-20250漏洞利用样本。
解压目录下,只有一个伪装为office文档的exe文件,该文件实际是Lokibot木马,运行后会从C2服务器hxxp://tvliked.com/m/fre.php接收攻击者指令,根据指令盗取受害主机数据,或者投递其他恶意木马。
三、安全建议
1、将WinRAR等压缩工具软件更新到最新版本,可通过腾讯电脑管家的软件管理功能,升级你正在使用的压缩解压缩工具。
2、可以直接删除WinRAR或其他压缩工具安装目录下的UNACEV2.DLL文件,但会造成ACE文件无法使用(其实ACE格式解不了问题不大,WinACE公司都关门十多年了,这么老的压缩格式,不支持了也没什么大不了)
3、切勿随意打开未知文件。
4、开启腾讯电脑管家的实时防护功能,拦截可能的病毒攻击
四、IOCs
IP
47.254.79.13
200.63.45.154
DOMAIN
tvliked.com
buyproxies.su
sushantshome.tripod.com
henurl.com
MD5
a557414fa6e7e086fd7b4d0aca4aab0e
15977cdf04cb02fe0f29f1d282a7a5a6
42e14de347bac9ec8a78da00964d13bf
2b0b8fe24ef2e55c4957649f2294499b
1a443c2fee7c2032549bdefc98f0e9e0
807dce80efc499c9cb752a83299e3254
d9605700f846aaf6935cc45b0dabed40
0627c18aa48366c4411acaf85b491ed8
URL
hxxp://tvliked.com/m/fre.php
hxxp:// buyproxies.su/ssl
hxxp://sushantshome.tripod.com
hxxp://henurl.com/bit.zip
hxxp://henurl.com/2019-bitcoin-tricks-pdf-book.zip
