更多全球网络安全资讯尽在邑安全
一旦漏洞被公开披露,攻击者就会迅速采取行动。由于 WinRAR 在全球的用户超过 5 亿,其软件的漏洞会被广为关注。
以假乱真
一位身份不明的攻击者使用 halersplonk 为名,公开发布 WinRAR 的远程代码执行漏洞(CVE-2023-40477)的虚假 PoC。这个脚本不仅不是针对该漏洞的 PoC,还是针对另一个软件 GeoServer 漏洞(CVE-2023-25157)的 PoC。
WinRAR 的 CVE-2023-40477 是一个远程代码执行漏洞。ZerodayInitiative 最早在 2023 年 6 月 8 日报告了该漏洞,并在 2023 年 8 月 17 日将漏洞公开。攻击者在漏洞公开仅仅四天后,就将恶意文件提交到 GitHub 上。
研究人员称,虚假的 PoC 被存储在名为 halersplonk 的用户的 GitHub 仓库中。目前该仓库已经被删除,无法进行访问。
伪造的 PoC 脚本是使用 Python 编写的,已经上传到了 VirusTotal 中。文件名为 CVE-2023-40477-main.zip,具体来说是 poc.py。下面列出了压缩文件中的内容,该压缩文件是通过单击 GitHub 页面中的下载按钮下载整个仓库生成的。
Listing archive: CVE-2023-40477-main.zip
--
Path = CVE-2023-40477-main.zip
Type = zip
Physical Size = 2360
Comment = 82cb695f463b93b9cc089253cd6b5e32dce46c35
Date Time Attr Size Compressed Name
------------------- ----- ------------ ------------ ------------------------
2023-08-21 21:15:49 D.... 0 0 CVE-2023-40477-main
2023-08-21 21:15:49 ..... 752 442 CVE-2023-40477-main/README.md
2023-08-21 21:15:49 ..... 3656 1424 CVE-2023-40477-main/poc.py
------------------- ----- ------------ ------------ ------------------------
2023-08-21 21:15:49 4408 1866 2 files, 1 folders
社会工程学
下图为攻击者提供的 README.md 文件,介绍了 CVE-2023-40477 漏洞的基本情况与 poc.py 脚本的使用说明,进一步诱骗用户上钩。文件中还提供了部署在 Streamable.com 的视频链接,由于视频已于 2023 年 8 月 25 日上午过期,已经无法再访问。
查看 Streamable 的元数据,可以发现视频上传的时间与制作虚假 PoC 的时间相吻合。根据元数据,该视频的播放次数超过 100 次。
| 元数据 | 值 |
|---|---|
| 上传日期 | 2023 年 8 月 21 日 22:20:32 |
| 原始名称 | 22.08.2023_00.17.56_REC.mp4 |
| 视频时长 | 20.303278 秒 |
| 过期时间 | 2023 年 8 月 22 日 05:38:32 |
视频虽然没有了,但是可以获取得到视频的两个缩略图。用户播放视频前,Streamable 显示的第一张图片中是桌面与任务管理器。如下所示,任务管理器中有一个名为 Windows.Gaming.Preview 的进程,该进程与后面介绍的 VenomRAT 远控木马同名。研究人员怀疑,攻击者使用相同的系统测试 Payload 并制作演示视频。
第二张图片中有 Burp Suite 的压缩包、密码与 PuTTY 客户端,攻击者假装展示如何制作恶意压缩文件并通过虚假 PoC 利用漏洞(CVE-2023-40477)。屏幕截图中还显示了 Windows 系统时间为 3:18 PM 8/21/2023,据此可以推测攻击者所在的时区。
研究人员认为视频中的压缩文件 burpsuite_pro_v2023.2.2.zip 是从 Telegram 中获取的,如下所示。研究人员没有进一步确认该 Burp Suite 应用程序是否为合法版本,毕竟可以通过官方渠道下载。
虚假 PoC
压缩文件中的虚假 PoC 脚本名为 poc.py,攻击者基于开源的 CVE-2023-25157 进行了修改。如下所示,修改包括以下部分:
-
删除了有关 CVE-2023-25157 漏洞详细信息的介绍
-
删除了表示该漏洞与网络漏洞有关的代码,如名为 PROXY 与 PROXY_ENABLED 的变量
-
修改了包含 geoserver 的字符串
-
新增下载并执行批处理脚本的代码,并注释为“检查依赖关系”
由于删除了部分代码,poc.py 脚本不能够完整正常运行。但添加到脚本中的恶意代码,可以在脚本因异常结束前完成执行,如下所示。
攻击者创建的批处理脚本 %TEMP%/bat.bat 可以访问以下 URL,并执行响应结果。
http://checkblacklistwords[.]eu/check-u/robot?963421355?Ihead=true
URL 上部署的脚本会运行一个经过编码的 PowerShell 脚本,该脚本会通过 checkblacklistwords[.]eu/c.txt 下载另一个 PowerShell 脚本。脚本会被保存在 %TEMP%c.ps1 并运行,如下所示:
下载的 PowerShell 脚本会再通过 checkblacklistwords[.]eu/words.txt 下载可执行文件,并将其保存到 %APPDATA%DriversWindows.Gaming.Preview.exe。PowerShell 脚本不仅运行可执行文件,还会创建一个名为 Windows.Gaming.Preview 的计划任务,该任务每三分钟运行一次可执行文件进行持久化。
可执行文件 Windows.Gaming.Preview.exe 是 VenomRAT 远控木马的变种,与前文介绍的任务管理器中的进程同名。这表明,攻击者在制作视频时可能就已经在系统上运行 VenomRAT 远控木马了。
该远控木马配置文件如下所示:
Por_ts = null
Hos_ts = null
Ver_sion = Venom RAT + HVNC + Stealer + Grabber v6.0.3
In_stall = false
MTX = fqziwqjwgwzscvfy
Paste_bin = http://checkblacklistwords[.]eu/list.txt
An_ti = false
Anti_Process = false
BS_OD = false
Group = Default
Hw_id = HEX(MD5(<cpu count> + <username> + <hostname> + <os version> + <system directory>))
Server_signa_ture = TtHk/GR7jC2p75o/t7g/BLsDYghocYu2[snip]
Server_certificate = MIICOTCCAaKgAwIBAgIVAPyfwFFMs6h[snip]
配置中 Paste_bin 为 http://checkblacklistwords[.]eu/list.txt,可执行文件与该地址通信获取 C&C 服务器。通过该 URL 可知 C&C 服务器位于 94.156.253[.]109:4449。
该 VenomRAT 木马会启动按键记录功能,将按键保存到 %APPDATA%MyDataDataLogs_keylog_offline.txt。木马与 C&C 服务器进行通信,支持的命令如下所示:
这个 VenomRAT 木马是在 2023 年 2 月 8 日 22:10:28 编译的,研究人员一共发现超过七百个 VenomRAT 样本文件都具有相同的编译时间戳。这都表明,木马样本文件可能是使用统一的 VenomRAT 构建工具创建的。
事件时间表
攻击者在 CVE-2023-40477 公开披露前十天创建了 checkblacklistwords[.]eu 域名,这也是将虚假 PoC 代码提交到 GitHub 的前十四天。该域名的 HTTP 响应中包含 Last-Modified 字段,值为 Sun, 16 Jul 2023 18:43:54 GMT,这表示攻击者可能在漏洞公开前一个多月就已经做好准备。
结论
漏洞公开后,未知攻击者试图通过虚假 PoC 来进行攻击。但该 PoC 是虚假的,并没有利用 WinRAR 的漏洞,只是想要通过 WinRAR 的 RCE 漏洞来进行攻击。虚假 PoC 脚本中使用了 GeoServer 的漏洞 PoC,最终安装 VenomRAT 远控木马。
IOC
7fc8d002b89fcfeb1c1e6b0ca710d7603e7152f693a14d8c0b7514d911d04234
ecf96e8a52d0b7a9ac33a37ac8b2779f4c52a3d7e0cf8da09d562ba0de6b30ff
c2a2678f6bb0ff5805f0c3d95514ac6eeeaacd8a4b62bcc32a716639f7e62cc4
b99161d933f023795afd287915c50a92df244e5041715c3381733e30b666fd3b
b77e4af833185c72590d344fd8f555b95de97ae7ca5c6ff5109a2d204a0d2b8e
94.156.253[.]109
checkblacklistwords[.]eu
http://checkblacklistwords[.]eu/check-u/robot?963421355?Ihead=true
http://checkblacklistwords[.]eu/c.txt
http://checkblacklistwords[.]eu/words.txt
原文来自: freebuf.com
原文链接: https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/
推荐文章
1
2
原文始发于微信公众号(邑安全):虚假 CVE-2023-40477 PoC 传播远控木马
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论