WinRAR高危漏洞被用来传播Lime-RAT远程控制木马

2019-03-07 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯御见威胁情报中心监控到攻击者正在利用该漏洞恶意传播Lime-RAT远控木马,该远控木马功能非常强大,通过修改配置信息或者接收远程指令,对中毒电脑实行远程控制。

一、概述

WinRAR漏洞(CVE-2018-20250,系unacev2.dll代码库高危漏洞)曝光以来,许多恶意程序开始利用WinRAR漏洞进行传播。近日,腾讯御见威胁情报中心监控到攻击者正在利用该漏洞恶意传播Lime-RAT远控木马,该远控木马功能非常强大,通过修改配置信息或者接收远程指令,对中毒电脑实行远程控制。

若使用存在漏洞的压缩/解压软件(如WinRAR较低版本)打开攻击者刻意构造的压缩文件,系统就会被添加一个开机启动项,当电脑下次重启时,Lime-RAT远程控制木马就会运行。该木马接受C2服务器(C&C的缩写,远程命令和控制服务器)指令,可以实现文件加密勒索、挖矿和下载其他恶意组件等功能。木马还会监视剪切板,当检测到受害者主机进行数字货币交易时,直接替换钱包地址达到抢钱目的。

二、分析

1、恶意压缩包

打开压缩包(扩展名),如下:

解压该压缩包,会释放恶意文件WinRAR.js到指定目录

WinRAR.js文件使用了多重代码混淆

解密后的部分关键代码如下所示:

WinRAR.js代码执行流程大致如下:

1)设置启动项


(2)设置定时任务,每45分钟启动一次


(3)将WinRAR.js拷贝到Temp目录


(4)将一段混淆后的字符串写入注册表项“HKCU\SOFTWARE\Microsoft\start”

(5)从注册表中读取该字符串,解混淆,得到一个PE文件(Lime-RAT远控木马),执行。


2Lime-RAT远控木马

Lime-RATWindows平台上的简单而强大的远程木马,可以发送远程指令,勒索,感染传播,下载其他恶意组件等。本次发现的Lime-RAT木马的部分配置文件信息如下图所示:


检测是否运行在虚拟机


设置Lime-RAT的定时任务


获取受害者主机信息生成mutex


监控剪切板,发现受害者主机进行数字货币交易时,非法替换钱包地址


解密获取url


访问url即可获取C2地址


将受害主机信息加密后发送到C2


解密C2下发的指令


三、安全建议

1、将WinRAR更新到最新版本,下载地址:

32 位:https://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 位:https://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

如果你使用其他压缩工具,也请升级到最新版本。

2、直接删除WinRAR安装目录下的UNACEV2.DLL文件,但会造成ACE文件无法使用(实际上大家可以完全放弃ace格式压缩文件,拥有ace格式专利的公司已经倒闭十多年了)。

3、开启腾讯电脑管家的实时保护,防止遭遇可能的病毒攻击。


四、IOCs

IP

194.5.97.145

194.5.98.170


DOMAIN

holydns.warzonedns.com


MD5

a557414fa6e7e086fd7b4d0aca4aab0e

15977cdf04cb02fe0f29f1d282a7a5a6

42e14de347bac9ec8a78da00964d13bf

2b0b8fe24ef2e55c4957649f2294499b

1a443c2fee7c2032549bdefc98f0e9e0

807dce80efc499c9cb752a83299e3254

d9605700f846aaf6935cc45b0dabed40

0627c18aa48366c4411acaf85b491ed8

URL

https://pastebin.com/raw/yLKyg31X

电脑管家 V16

全新上线 更轻更快