中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

發布時間:2021-11-25 15:33:04 來源:億速云 閱讀:145 作者:柒染 欄目:編程語言

這篇文章將為大家詳細講解有關WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

一、背景

近期截獲一例利用最新公布WinRAR漏洞(CVE-2018-20250)的攻擊樣本,文件名為Meeting summary.rar。該惡意ACE壓縮文件內含一個名為Meeting summary的Office Word文檔,誘使受害者直接解壓釋放該文件。

用WinRAR打開后該壓縮檔包含內容如下所示。

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

在winrar內一直點擊進入目錄可看到startups.exe的具體信息,如下圖所示。

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析當受害者通過WinRAR直接解壓該文件便會觸發該漏洞,從而釋放內置的惡意程序(startups.exe)到用戶windows系統的啟動目錄內,從而使得下次重啟系統的時候該惡意程序能自動啟動運行。WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

二、startups.exe程序分析

文件名startups.exe
MD57706640ac741740d1e5521ed671e8904
SHA159773b72caefa9f882a8602a19d9210fa9ad1f65

startups.exe程序執行后首先會刪除以前生成的文件。在臨時目錄下查找以.ocra-delete-me結尾的文件并刪除之。

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

通過GetModuleFileName獲取可執行文件全路徑文件名。

然后獲取exe所在的目錄名稱。

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

設置環境變量OCRA_EXECUTABLE。

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

打開exe文件并映射到內存。

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

判斷文件標志0x41B6BA4E,EXE文件是否是以該四個字節為結尾。


WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

利用winhex打開startups.exe,可以看到startups.exe確實以該4個字節結束。

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

讀取操作標志號所在的位置(文件尾部倒數第8個位置開始的四個字節),從上圖我們可以看到標志號所在的位置是0x00009600,也就是從exe文件偏移0x0000960處取值,startups.exe中取值是0x00000004。

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

執行0x00000004操作號相應操作,該操作是利用LZMA算法進行文件解壓縮。

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

在解壓縮函數004032c0操作后,解壓后的內存部分數據如下所示。

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

在解壓縮數據中讀取操作標志號,如上圖中開始的4個字節為0x00000001,該操作是創建目錄。上圖中可以看到創建的目錄是src目錄。然后是操作標識號為0x00000002,表示的是創建文件,上圖中緊跟其后的文件名為src\buby.rb。

如此一來,就把解壓數據中包含的所有目錄和文件創建到系統臨時目錄下相應的位置。    
WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

隨后,通過操作標識號0x00000006進行進程創建動作。創建啟動的進程是bin目錄下的rubyw.exe(ruby程序),參數是src\ruby.rb。

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

IDA代碼如下:

WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析

ruby.rb的內容如下:

上面代碼的利用https訪問https://66.42.33.59:443/#WEZf的內容,然后通過RtlMoveMemory、CreateThread創建并啟動線程。

遺憾的是,該URL目前已經無法連接,因此無法分析進一步的惡意負載。

此外,通過網絡搜索,發現上述分析中經常發現的OCRA字符串其實是一個開源項目。OCRA(OneClick Ruby Application Builder)是一個將.rb文件打包為可執行文件的gem,生成的EXE可脫離Ruby環境運行。其原理是將Ruby程序運行所需的解釋器、gems等全部打包“帶走”。    
常用參數如下:

--windows 不顯示控制臺(rubyw.exe)

--console 顯示控制臺 (默認,ruby.exe)

--dll dllname 包含Ruby的bin目錄中指定的DLL

--no-lzma 打包時禁用LZMA壓縮

--quiet 不顯示打包進度

--help 查看ocra幫助

--no-autoload 不包含腳本中autoload的項目

--icon 用自定義的ico替換掉默認的紅寶石圖標

由此,startups.exe其實就是一個由OCRA轉換過來的exe文件。

三、結束語

1、利用winrar(CVE-2018-20250)漏洞;

2、利用OCRA將RB代碼轉換成EXE程序;

3、后續的惡意代碼也是利用RB語言。

可以預期,利用WinRAR漏洞(CVE-2018-20250)傳播惡意程序的攻擊行為將愈發紅火。此外,利用開源框架(本文OCRA)實現惡意代碼加載可能成為一種趨勢。

用戶要對后綴名為rar的壓縮文檔加強警惕,建議未升級winrar補丁的用戶立馬更新winarar新版本或者刪除UNACEV2.DLL文件使其無法支持ACE格式。此外,建議修改winrar使用習慣,不要在未明的情況下直接右鍵解壓釋放。建議雙擊打開后,看清楚壓縮包的具體信息后在解壓。

關于WinRAR漏洞CVE-2018-20250攻擊樣本的實例分析就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

梁河县| 大渡口区| 九龙城区| 新和县| 新化县| 施甸县| 吉木萨尔县| 本溪市| 启东市| 富裕县| 馆陶县| 兴和县| 柳林县| 舒兰市| 礼泉县| 渑池县| 延吉市| 邯郸县| 田东县| 司法| 四川省| 汪清县| 得荣县| 沭阳县| 安岳县| 蛟河市| 南康市| 墨竹工卡县| 葫芦岛市| 洛宁县| 南雄市| 自治县| 吴忠市| 高雄市| 神木县| 从江县| 玉林市| 石狮市| 绩溪县| 司法| 龙门县|