如何利用WinRAR漏洞針對中東地區的定向攻擊活動分析

背景

2019年3月17日，360威脅情報中心截獲了一例疑似「黃金鼠」APT組織（APT-C-27）利用WinRAR漏洞（CVE-2018-20250[6] ）針對中東地區的定向攻擊樣本。該惡意ACE壓縮包內包含一個以恐怖襲擊事件為誘餌的Office Word文檔，誘使受害者解壓文件，當受害者在本地計算機上通過WinRAR解壓該文件後便會觸發漏洞，漏洞利用成功後將內置的後門程式（Telegram Desktop.exe）釋放到使用者電腦啟動專案錄中，當使用者重新啟動或登入系統都會執行該遠控木馬，從而控制受害者電腦。

360威脅情報中心透過關聯分析後發現，該攻擊活動疑似與「黃金鼠」APT組織（APT-C-27）相關，經過進一步溯源與關聯，我們也發現了多個與該組織相關的Android平台的惡意樣本，這類樣本主要偽裝成一些常用軟體向特定目標人群進行攻擊，結合惡意程式碼中與攻擊者相關的文字內容，可以猜測攻擊者也比較熟悉阿拉伯語。

後門程式（TelegramDesktop.exe）在VirusTotal上的偵測情況

樣本分析

#360威脅情報中心針對此利用WinRAR漏洞的樣本進行了分析，相關分析如下。

利用恐襲事件誘導解壓縮

#MD5	314e8105f28530eb0bf54891b9b3ff69
文件名

這個Office Word文件是惡意壓縮檔案的一部分，其內容涉及一次恐怖攻擊事件。中東地區由於其政治、地理等特殊性，該地區遭受恐怖襲擊繁多，人民深受其害，所以該地區人民對於恐怖襲擊等事件敏感，致使受害者解壓文檔的可能性增加：

誘餌文件翻譯內容

使用者如果解壓縮該惡意壓縮包，則會觸發WinRAR漏洞，從而釋放內建的後門程式到使用者啟動目錄中：

當使用者重新啟動電腦或登入系統後將執行釋放的後門程式Telegram Desktop.exe。

Backdoor（Telegram Desktop.exe）

 76fd23de8f977f51d832a87d7b0f7692a0ff8af333d74fa5ade2e99fec010689##NET#

後門程式TelegramDesktop.exe會從PE資源中讀取資料並寫入到：%TEMP%\Telegram Desktop.vbs，隨後執行該VBS腳本，並休眠17秒直到VBS腳本運行完成：

此VBS腳本的主要功能為透過Base64解碼內建的字串，並將解碼後的字串寫入到檔案：%TEMP%\Process. exe，最後執行Process.exe：

Process.exe執行後會在%TEMP%目錄下建立檔案1717.txt，並寫入與最終執行的後門程式相關的數據，以供Telegram Desktop.exe後續使用：

#隨後TelegramDesktop.exe便會讀取1717. txt檔案的內容，並將其中的特殊字元替換：

#之後再透過Base64解碼數據，並在記憶體中載入執行解碼後的資料：

最終在記憶體中載入執行的資料為njRAT後門程序，相關配置資訊如下：

njRAT

記憶體載入執行的njRAT後門程式會先建立互斥量，並保證只有一個實例運作：

並判斷目前運行路徑是否為設定檔中設定的路徑，若不是則拷貝自身到該路徑啟動執行：

隨後關閉附件檢查器和防火牆：

#並開啟鍵盤記錄線程，將鍵盤記錄的結果寫入註冊表：

開啟通訊線程，與C&C位址建立通訊並接受命令執行：

##此njRAT遠控還具有遠端SHELL、外掛程式下載執行、遠端桌面、檔案管理等多個功能：

Android平台樣本分析

360威脅情報中心透過VirusTotal也關聯到了「黃金鼠」（APT-C-27）AP​​T組織最近使用的多個Android平台的惡意樣本，其同樣使用了82.137. 255.56作為C&C地址（82.137.255.56:1740）：

而近期關聯到的Android平台後門樣本主要偽裝為Android系統更新、Office升級程式等常用軟體。以下是我們針對偽裝成Office升級程式的Android樣本進行的分析

#檔名	Telegram  Desktop.exe
##SHA256
NET#NET.NET

1cc32f2a351927777fc3b2ae5639f4d5OfficeUpdate2019.#檔案名稱OfficeUpdate2019.#apk

檔案MD5
檔案名稱

##### ####

該Android樣本啟動後，會誘導使用者啟動裝置管理器，接著隱藏圖示並在背景執行：

誘導使用者完成安裝之後，樣本會展示如下介面：

接著樣本將透過Android預設的SharedPreferences儲存介面來取得上線的IP位址和端口，如果取得不到，就解碼預設的硬編碼IP位址和連接埠上線：

相關IP位址的解碼演算法：

最終解碼後的IP位址為：82.137.255.56，連接埠也是需要把硬編碼後的​​端口加上100來得到最終的連接埠1740：

#一旦成功連接到C&C位址，會立即發送上線訊息、接收控制指令並執行。此樣本能夠進行錄音、拍照、進行GPS定位，上傳聯絡人/通話記錄/簡訊/文件，以及執行來自雲端的命令等多種功能

Android後門樣本的相關指令及功能清單如下：

 connect  取得指定檔案的基本資訊  #下載檔案  上傳檔案  #刪除檔案##22依照雲端指令複製檔案#23依照雲端指令移動檔案24  25  28  2930  31  #32  33  34  35  ## 36  

#	功能
#16	心跳打點
	17
	#18
	19
	20
	21
依照雲端指令重新命名檔案
##運行檔案
依照雲端指令建立目錄
執行雲端指令
執行一次ping指令
取得並上傳聯絡人資訊
取得並上傳簡訊
取得並上傳通話記錄
#開始錄音
#停止並上傳錄音檔案

拍照################37###  ######開始GPS定位########### ####38###  ######停止GPS定位並上傳位置資訊###############39###  ######使用雲端發送的ip/port###############40###  #######向雲端報告目前使用的ip/port############ ###41###  ######取得已安裝應用程式的資訊############

值得注意的是，在該樣本回傳的命令信息中包含了阿拉伯語的相關信息，因此我們推測攻擊者有較大可能熟悉使用阿拉伯語：

溯源與關聯

透過查詢本次捕獲的後門程式C&C位址（82.137.255.56：1921）可知，此IP位址自2017年起便多次被APT -C-27（黃金鼠）組織使用，該IP位址疑似為該組織的固有IP資產。在360網路研究院的大數據關聯平台上，可以查看與該IP位址相關聯的多個樣本資訊

透過360威脅情報中心威脅分析平台(ti.360.net)查詢該C&C位址，也被打上了APT-C-27相關的標籤：

而從本次捕獲的相關木馬樣本（Windows和Android平台）的功能模組、程式碼邏輯、內建資訊語言、目標群體、網路資產等資訊都和早前曝光的APT-C-27[2]所使用的木馬樣本資訊高度相似。因此，根據360威脅情報中心所述，本次攔截的相關樣本同樣與「黃金鼠」APT組織（APT-C-27）有關聯。

正如我們的預測，利用WinRAR漏洞（CVE-2018-20250）傳播惡意程式的攻擊行為正處於爆發階段，360威脅情報中心先前觀察到多個利用此漏洞進行的APT攻擊活動，而本次截獲的疑似「黃金鼠」APT組織（APT-C-27）利用WinRAR漏洞的定向攻擊活動僅只是眾多利用該漏洞實施定向攻擊案例中的一例。因此360威脅情報中心再次提醒各用戶要及時做好該漏洞防護措施。 （請參閱「緩解措施」一節）

緩解措施

1、  軟體廠商已經發布了最新的WinRAR版本，360威脅情報中心建議用戶及時更新升級WinRAR（5.70 beta 1）到最新版本，下載位址如下：

32 位元：http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 位元：http://win -rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2、  如暫時無法安裝補丁，可以直接刪除漏洞的DLL（UNACEV2.DLL），這樣不影響一般的使用，但是遇到ACE的文件會報錯。

目前，基於360威脅情報中心的威脅情報資料的全線產品，包括360威脅情報平台（TIP）、天擎、天眼高階威脅偵測系統、360 NGSOC等，都已經支援對此類攻擊的精確檢測。

以上是如何利用WinRAR漏洞針對中東地區的定向攻擊活動分析的詳細內容。更多資訊請關注PHP中文網其他相關文章！