首个完整利用WinRAR漏洞传播的恶意样本分析

栏目: C++ · 发布时间: 5年前

内容简介:WinRAR是一款流行的压缩工具,据其官网上发布的数据,全球有超过5亿的用户在使用WinRAR。2019年2月20日,安全厂商checkpoint发布了名为<<Extracting a 19 Year Old Code Execution from WinRAR>>的文章(见参考[1]),文章披露了一个存在于WinRAR中用于ace文件解析的DLL模块中的绝对路径穿越漏洞,可导致远程代码执行。2019年2月22日,在该漏洞被披露后短短一天多时间后,360威胁情报中心便截获了首个利用WinRAR漏洞(CVE-

背景

WinRAR是一款流行的压缩工具,据其官网上发布的数据,全球有超过5亿的用户在使用WinRAR。

2019年2月20日,安全厂商checkpoint发布了名为<>的文章(见参考[1]),文章披露了一个存在于WinRAR中用于ace文件解析的DLL模块中的绝对路径穿越漏洞,可导致远程代码执行。

2019年2月22日,在该漏洞被披露后短短一天多时间后,360威胁情报中心便截获了首个利用WinRAR漏洞(CVE-2018-20250)传播木马程序的恶意ACE文件。该恶意压缩文件被命名为ModifiedVersion3.rar,并通过邮件发送,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后会将内置的木马程序写入到用户计算机的全局启动项目录中,任意用户重启系统都会执行该木马程序从而导致电脑被控制。

首个完整利用WinRAR漏洞传播的恶意样本分析

样本在VirusTotal上的检测情况

样本分析

Dropper(ModifiedVersion3.rar)

捕获到的恶意压缩文件被命名为ModifiedVersion3.rar,并通过邮件发送:

首个完整利用WinRAR漏洞传播的恶意样本分析

而该RAR文件实际上为有漏洞的ACE格式的压缩文件,文件内的解压目标的相对路径(filename)被攻击者修改为了全局的启动项目录:

首个完整利用WinRAR漏洞传播的恶意样本分析

一旦用户在本地计算机上使用WinRAR对该文件执行解压操作,便会触发漏洞,漏洞利用成功后会将内置的木马程序写入到用户计算机的全局启动项目录中:

首个完整利用WinRAR漏洞传播的恶意样本分析

C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup\ CMSTray.exe

写入全局启动项及限制条件

虽然该恶意样本利用巧妙(通过将木马写入到一个固定的全局启动项地址来持久化),但是该写入操作需要用户计算机关闭了UAC(用户账户控制)才能成功写入,否则在解压时会出现如下错误提示:

首个完整利用WinRAR漏洞传播的恶意样本分析

Backdoor(CMSTray.exe)

释放到全局启动目录的木马程序是一个伪装为Office Word文档图标的可执行文件:CMSTray.exe,该木马会在内存中解密一段ShellCode,ShellCode主要功能是下载hxxp://138.204.171.108/BxjL5iKld8.zip文件,并解密为另一段ShellCode:

首个完整利用WinRAR漏洞传播的恶意样本分析

后续的ShellCode使用MetaSploit生成,ShellCode执行后连接C&C地址138.204.171.108:443

首个完整利用WinRAR漏洞传播的恶意样本分析

漏洞分析

该漏洞是由于与ace处理相关的DLL在对解压目标的相对路径(filename)进行解析时,由于CleanPath函数过滤路径不严格导致:

首个完整利用WinRAR漏洞传播的恶意样本分析

如针对以下路径:

C:\C:C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe

调用这个函数后CleanPath(“C:\C:C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe”)

经过Step1:

C:C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe

经过Step2:

C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe

经过Step3:

此时因为C:之后使用的是“../”不是“..\”,所以不会进入while循环,直接返回。

最后返回的结果为:

C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe

这个路径可以直接实现路径穿越:

首个完整利用WinRAR漏洞传播的恶意样本分析

缓解措施

1、  目前软件厂商已经发布了最新的WinRAR版本,360威胁情报中心建议用户及时更新升级WinRAR(5.70 beta 1)到最新版本,下载地址如下:

32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2、  如暂时无法安装补丁,可以直接删除漏洞的DLL(UNACEV2.DLL),这样不影响一般的使用,但是遇到ace的文件会报错。

目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此类攻击的精确检测。

IOC

MD5
6c702c25ec425764a303418b2d3f99ae
e4f1d20fdc3d558a22895a9729a12cf6
URL
hxxp://138.204.171.108/BxjL5iKld8.zip
C&C
138.204.171.108:443

参考链接

[1].https://research.checkpoint.com/extracting-code-execution-from-winrar/

[2].https://twitter.com/360TIC/status/1099987939818299392

[3].https://ti.360.net/advisory/articles/360ti-sv-2019-0009-winrar-rce/

声明:本文来自360威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上所述就是小编给大家介绍的《首个完整利用WinRAR漏洞传播的恶意样本分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Linux内核完全剖析

Linux内核完全剖析

赵炯 / 机械工业出版社 / 2008.10 / 99.00元

本书对早期Linux内核(v0.12)全部代码文件进行了详细、全面的注释和说明,旨在帮助读者用较短的时间对Linux的工作机理获得全面而深刻的理解,为进一步学习和研究Linux打下坚实的基础。虽然选择的版本较低,但该内核已能够正常编译运行,并且其中已包括了Linux工作原理的精髓。书中首先以Linux源代码版本的变迁为主线,介绍了Linux的历史,同时着重说明了各个内核版本的主要区别和改进,给出了......一起来看看 《Linux内核完全剖析》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换