黑客利用WPS Office漏洞注入后门

黑客利用WPS Office漏洞在目标系统中注入后门。

Avast研究人员发现有黑客利用WPS Office漏洞在目标系统中注入后门。

CVE-2022-24934——WPS office漏洞

WPS Office 是一个跨平台的office套件，安装量超过12亿。用户主要分布在中国和中国香港地区，是第一个支持中文语言word处理工具。CVE-2022-24934是WPS Office更新工具中的一个安全漏洞。

要利用该漏洞，需要修改HKEY_CURRENT_USER 下的一个注册表，攻击者完成这一操作后可以在系统上实现驻留，控制更新过程。建立与C2服务器通信连接，取回payload，并在被黑的机器上运行代码。

利用WPS漏洞实现恶意软件部署

Avast 已经向WPS通知了该任意代码执行漏洞，厂商也发布了补丁，但并不是所有用户都应用该补丁对系统进行了修复。

工具集

在攻击活动中，黑客还使用了大量的攻击工具。

注入被入侵系统的第一阶段payload是一个DLL后门和一个释放器，DLL后门的作用是用于建立C2 通信，释放器的目的是实现系统中的权限提升，并取回8个第二阶段payload以实现不同的功能。

Proto8是第二阶段的核心模块，加载到系统后会执行以下操作：

• 执行初始化检查和建立绕过机制；

• 模块自更新、加载配置文件和设置工作目录；

• 收集用户名、DNS、NetBios计算机名、操作系统、架构等信息；

• 验证硬编码的C2地址，并尝试连接到攻击者控制的服务器。

Proto8进行自升级和设置

以上步骤完成后，该核心模块就会等待远程服务器的命令，服务器发送的命令主要有：

• 发送收集的数据到C2服务器；

• 找出所有远程桌面会话的用户名、域名、和计算机名；

• 枚举根磁盘；

• 枚举文件、找出访问和创建的详细情况；

• 创建一个含有被窃的、复制的token的进程；

• 重命名文件；

• 删除文件；

• 创建目录；

• 通过API函数发送错误代码；

• 枚举特定文件夹的文件；

• 上传文件到C2服务器；

• 创建一个目录，保存从C2下载的文件。

Proto8还有一个插件加载系统，用来提供与驻留、UAC绕过、提供后门能力、绕过能相关的功能。

其中一个插件会操作注册表来创建一个新的用户，然后使用该新账户在没有admin密码的情况下建立与该机器的RDP连接。该插件启用了匿名SID，允许Null Session 用户访问共享的网络文件夹，禁用admin许可来使所有的APP都能以完全权限运行。

参考及来源：https://decoded.avast.io/luigicamastra/operation-dragon-castling-apt-group-targeting-betting-companies/ https://www.bleepingcomputer.com/news/security/hackers-exploit-new-wps-office-flaw-to-breach-betting-firms/