手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

黑客利用Excel文档来执行ChainShot恶意软件攻击

[日期:2018-09-11] 来源:cnbeta.com  作者:Linux [字体: ]

针对近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已经出现了一款名叫 CHAINSHOT 的恶意软件攻击。其利用微软 Excel 文件包含的微型 Shockwave Flash ActiveX 对象、以及一个所谓的“电影”的 URL 链接,忽悠人们去下载 Flash 应用程序。研究人员攻破了其采用的 512-bit RSA 密钥,从而揭开了它的神秘面纱。

黑客利用Excel文档来执行ChainShot恶意软件攻击

恶意 Shockwave Flash ActiveX 对象属性

研究人员发现,该 Flash 应用程序其实是一个混淆的下载器:

进程会在内存中创建一个随机的 512-bit RSA 密钥对,将私钥保留在内存中、并将公钥发送到攻击者的服务器,以加密 AES 密钥(用于加密有效负载)。

 黑客利用Excel文档来执行ChainShot恶意软件攻击

之后将加密的有效负载和现有的私钥发送到下载程序,以解密128位AES密钥和有效负载。Palo Alto Networks Unit 42 的研究人员破解了加密,并分享了他们的破解方法。

尽管私钥仅保留在内存中,但公钥的模数 n 被发送到了攻击者的服务器。

在服务器端,模数与硬编码指数 e 0x10001 一起使用,以加密此前用于加密漏洞和 shellcode 有效载荷的128-bit AES 密钥。

 黑客利用Excel文档来执行ChainShot恶意软件攻击

揭秘 shellcode 有效载荷的 HTTP POST 请求(其模数 n 为十六进制)

一旦研究人员解密了 128-bit AES 密钥,就能够解密有效负载。

获得 RWE 权限之后,执行就会传递给 shellcode,然后在内部加载一个名为 FirstStageDropper.dll 的嵌入式 DLL 。

最后,研究人员分享了感染指征(Indicators of Compromise):

Adobe Flash Downloader

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Adobe Flash Exploit(CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

[编译自:MSPU , 来源:Palo Alto Networks]

Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2018-09/154020.htm

linux
相关资讯       ChainShot 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款