WinRAR(ace格式解压)漏洞备受青睐 攻击样本层出不穷

2019-04-04 来源:原创 作者:腾讯电脑管家
【文章摘要】自从WinRAR被爆出存在高危漏洞(CVE-2018-20250)以来,因为该漏洞简单易用,备受攻击者青睐。攻击者精心构造恶意ACE文件进行投递后,只要受害者解压文件,然后重启电脑,系统便会自动执行攻击者投递的恶意木马。

一、概述

自从WinRAR被爆出存在高危漏洞(CVE-2018-20250)以来,因为该漏洞简单易用,备受攻击者青睐。攻击者精心构造恶意ACE文件进行投递后,只要受害者解压文件,然后重启电脑,系统便会自动执行攻击者投递的恶意木马。近日,腾讯御见威胁情报中心捕获到几例利用CVE-2018-20250漏洞进行传播的新样本,具体分析见下文。

二、样本分析

1、利用多重压缩包嵌套企图逃避杀毒软件的查杀,同时通过投递多个木马增加木马被执行的概率,相关分析如下:

MD5

文件名

e2a487784661d19442c71a2ef8ef0256

2019-bitcoin-tricks-pdf-book.zip

样本母体包含了一个压缩包文件project.zip和الشرح.scr。الشرح.scr是伪装成屏保文件的Androm后门木马,project.zip则为实际利用CVE-2018-20250漏洞的恶意ACE文件,解压即可看到它在系统启动项目录释放名为int-driver.exeAndrom后门木马。Androm木马通常从C2服务器接收攻击者指令,根据指令盗取受害主机数据,或者投递其他恶意木马。


2、压缩包内包含大量热门游戏账号密码,或暗网泄露的google邮箱账号密码,诱导受害者解压恶意文件,相关分析如下:

MD5

文件名

5c3fe67603e0ae93f1b728edc03c6ab2

SMASH_Fornite_Logs.rar

432fe2822e61f155d50ae543bd7e712b

1mill_USA_EmailPW.rar

       以样本5c3fe67603e0ae93f1b728edc03c6ab2为例进行分析。Fornite(堡垒之夜)是一款非常热门的第三人称射击游戏,而”Smash Fornite Dance”则是堡垒之夜中风靡一时的舞蹈挑战,想要角色跳出不同的舞蹈动作,需要游戏账号有相应的皮肤。攻击者以此为诱饵,欺骗目标用户解压。

压缩包中包含了多个txt文件,每个txt文件按照皮肤分类命名,而每个txt文件又包含了大量明文的账号密码。


如果受害者对这些大量的游戏账号密码感兴趣,则很有可能进行解压操作。解压后Tinynuke银行木马将会被释放到系统启动项目录。


TinyNuke(又名Nuclear Bot)是一个功能非常强大的银行木马。它具备反向sock代理、隐藏CNCUAC绕过、Windows防火墙绕过、Rootkit等功能模块。除此之外,它还可以在受害者访问银行网站时窃取密码并注入任何内容,同时还自带了Bot-killer(一种迷你防火墙),用于清除受害主机上的其他恶意软件。

3、伪装成报价单的恶意ACE文件样本

MD5

邮件主题

caf56379df8f73d165045c9b43408a6a

RE:Request for quotation


攻击者伪装成Elite公司的员工向位于巴西的服装公司piabacamisas发送钓鱼邮件,并索要报价单,邮件附件为“Purchased Order.ace“文件。



解压该ACE文件后,并没有像预期一样,释放恶意木马到系统启动项目录。将该ACE文件与CVE-2018-20250漏洞利用文件进行对比,发现“Purchased Order.ace“并不是有效的CVE-2018-20250漏洞利用样本。

解压目录下,只有一个伪装为office文档的exe文件,该文件实际是Lokibot木马,运行后会从C2服务器hxxp://tvliked.com/m/fre.php接收攻击者指令,根据指令盗取受害主机数据,或者投递其他恶意木马。


三、安全建议

1、将WinRAR等压缩工具软件更新到最新版本,可通过腾讯电脑管家的软件管理功能,升级你正在使用的压缩解压缩工具。

2、可以直接删除WinRAR或其他压缩工具安装目录下的UNACEV2.DLL文件,但会造成ACE文件无法使用(其实ACE格式解不了问题不大,WinACE公司都关门十多年了,这么老的压缩格式,不支持了也没什么大不了)

3、切勿随意打开未知文件。

4、开启腾讯电脑管家的实时防护功能,拦截可能的病毒攻击


四、IOCs

IP

47.254.79.13

200.63.45.154

DOMAIN

tvliked.com

buyproxies.su

sushantshome.tripod.com

henurl.com

MD5

a557414fa6e7e086fd7b4d0aca4aab0e

15977cdf04cb02fe0f29f1d282a7a5a6

42e14de347bac9ec8a78da00964d13bf

2b0b8fe24ef2e55c4957649f2294499b

1a443c2fee7c2032549bdefc98f0e9e0

807dce80efc499c9cb752a83299e3254

d9605700f846aaf6935cc45b0dabed40

0627c18aa48366c4411acaf85b491ed8

URL

hxxp://tvliked.com/m/fre.php

hxxp:// buyproxies.su/ssl

hxxp://sushantshome.tripod.com

hxxp://henurl.com/bit.zip

hxxp://henurl.com/2019-bitcoin-tricks-pdf-book.zip

电脑管家V13.3

权限雷达全新升级

详情>>

版本更新:2019.5.6