CVE-2023-40477Github投毒始末

admin
admin
admin
138674
文章
114
评论
2024年3月6日07:57:17评论50 views字数 4470阅读14分54秒阅读模式

国庆结束了,40477投毒这个事很有参考性,也可以用于各种报告案例,所以整理了下事件情况(https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/)。

起始源于8月中推上曾哥发推说这个POC发现有问题,这个CVE号是WinRAR RCE漏洞,这个漏洞在 2023 年 6 月 8 日向供应商披露了该漏洞信息。在公开报告 CVE-2023-40477 四天后,一名攻击者使用名为halersplonk 向其 GitHub 存储库提交了一个虚假的 PoC 脚本。

CVE-2023-40477Github投毒始末

其实HW和一些红蓝期间有关Github投毒的情况很多,已经不陌生了,但这种真实在野投毒案例还是很有参考性和用于写一些文案类。而且这个案例中,投毒时间与漏洞公开时间几乎是同一时间,脚本利用了名为 GeoServer 的应用程序中的 SQL 注入漏洞,为CVE-2023-25157的漏洞脚本。有团队分析了伪造的 PoC 脚本以及感染链中的所有链接,脚本目的是执行 VenomRAT的恶意exe文件。

投毒的POC是python脚本,原github已经404了,但还在virustotal的zip中可以找到了,名为CVE-2023-40477-main.zip,包信息如下:

Path = CVE-2023-40477-main.zipType = zipPhysical Size = 2360Comment = 82cb695f463b93b9cc089253cd6b5e32dce46c35Date Time Attr Size Compressed Name------------------- ----- ------------ ------------ ------------------------2023-08-21 21:15:49 D.... 0 0 CVE-2023-40477-main2023-08-21 21:15:49 ..... 752 442 CVE-2023-40477-main/README.md2023-08-21 21:15:49 ..... 3656 1424 CVE-2023-40477-main/poc.py------------------- ----- ------------ ------------ ------------------------


ZIP文件是打包下载了github投毒文件,README文件也写了一些诱导性的摘要和一个视频演示链接,演示内容也是运行投毒脚本的运行流程。

CVE-2023-40477Github投毒始末

CVE-2023-40477Github投毒始末

CVE-2023-40477Github投毒始末

这部分有价值信息分析下有,readme文件中的视频链接上传信息于2023 年 8 月 21 日晚上 10:20:32上传,121次播放次数,视频中演示的环境分析也是投毒者真实的环境,因为如上截图视频中任务管理器有Windows.Gaming.Preview的进程,与投毒脚本执行VenomRAT payload的进程是相同的所以系统显示的时间是真实的可能会在关联分析时区位置方面有价。其中使用的bupsuite的zip文件,密码311138来源疑似为tg共享的,攻击者可能为该tg关注者的一员。

CVE-2023-40477Github投毒始末

然后是POC问题,投毒Python 脚本名为poc.py,它基于开源 CVE-2023-25157 PoC,并进行了一些改动,对 CVE-2023-25157 PoC 代码的更改包括:

  • 删除有关 CVE-2023-25157 漏洞详细信息描述

  • 删除表与网络相关的漏洞的代码行,例如名为PROXY和PROXY_ENABLED的变量设

  • 修改了来自geoserver的字符串并用以利用

  • 包含下载并执行批处理脚本的附加代码,并带有“检查依赖关系”注释


CVE-2023-40477Github投毒始末

左侧 CVE-2023-25157 PoC 与右侧假 CVE-2023-40477 PoC 之间的比较

由于删除了几行代码,poc.py脚本不能正常运行。但是,添加到脚本中的恶意代码在脚本因异常结束之前会运行。投毒PoC的恶意代码如上右侧绿色代码行所示,在%TEMP%/bat.bat中创建了一个批处理脚本。该脚本将访问以下 URL 并运行:

CVE-2023-40477Github投毒始末

脚本运行报错

恶意链接:http://checkblacklistwords[.]eu/check-u/robot?963421355?Ihead=true

这 URL 上的批处理脚本运行一个编码后的 PowerShell 脚本,该脚本将从checkblacklistwords[.]eu/c.txt下载另一个 PowerShell 脚本。然后,该脚本将此文件保存到%TEMP%c.ps1并运行它,如以下代码块所示:

CVE-2023-40477Github投毒始末

下载的PowerShell 脚本从checkblacklistwords[.]eu/words.txt下载可执行文件,并将其保存到%APPDATA%DriversWindows.Gaming.Preview.exe。PowerShell 脚本不仅运行可执行文件,还创建一个名为Windows.Gaming.Preview的计划任务,该任务每三分钟运行一次可执行文件,以持久运行此恶意有效负载。
分析Windows.Gaming.Preview.exe可执行文件是 VenomRAT 的变体,它与前面的README.md文件视频中显示的任务管理器中看到的运行进程同名。这表明威胁行为者在制作视频时可能已经在其系统上测试运行 VenomRAT 有效负载。
VenomRAT 的这个特定变体具有以下配置:
Por_ts = nullHos_ts = nullVer_sion = Venom RAT + HVNC + Stealer + Grabber v6.0.3In_stall = falseMTX = fqziwqjwgwzscvfyPaste_bin = http://checkblacklistwords[.]eu/list.txtAn_ti = falseAnti_Process = falseBS_OD = falseGroup = DefaultHw_id = HEX(MD5(<cpu count> + <username> + <hostname> + <os version> + <system directory>))Server_signa_ture = TtHk/GR7jC2p75o/t7g/BLsDYghocYu2[snip]Server_certificate = MIICOTCCAaKgAwIBAgIVAPyfwFFMs6h[snip]
配置Paste_bin的值为http://checkblacklistwords[.]eu/list.txt,可执行文件获取命令和控制 (C2) 位置。此 URL 内容中 C2 位于以下 IP 地址:
94.156.253[.]109:4449
这个改动的 VenomRAT 客户端会启动键盘记录器功能,将按键记录保存到%APPDATA%MyDataDataLogs_keylog_offline.txt。然后,客户端开始与 C2 服务器通信,并将处理服务器的命令进行响应,命令如下。
Command Description
plu_gin Invokes a plugin by name that is saved to a key in the registry via the save_Plugin command
HVNCStop Gets a process by name cvtres and kills it.
loadofflinelog Uploads the offline key logger file from %APPDATA%MyDataDataLogs_keylog_offline.txt
save_Plugin Saves a plugin to the registry for loading via the plu_gin command. Plugins saved to a specified subkey in Software\<hardware id>
runningapp Gets the running processes
keylogsetting Provides a new key log configuration file that will save to %APPDATA%MyDataDataLogs.conf
init_reg Deletes subkeys in Software\<hardware id>
Po_ng Sends the interval between the last PING message sent to the C2 server and the receipt of the Po_ng command
filterinfo Gets installed applications list from the registry (SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall) and the running processes.

根据 VenomRAT 样本的PE头,可执行文件是于 2023 年 2 月 8 日 22:10:28 UTC 编译的。发现超过 700 个 VenomRAT 样本具有相同的编译时间。这说明这个特定的样本可能是使用标准 VenomRAT 构建器创建的,该构建器使用了基本可执行文件,并用更新的配置设置功能对其进行了修改。

Unit42团队制作了此事件时间表如下:

CVE-2023-40477Github投毒始末

IOCs:

内容 种类 描述
7fc8d002b89fcfeb1c1e6b0ca710d7603e7152f693a14d8c0b7514d911d04234 File CVE-2023-40477-main.zip 
ecf96e8a52d0b7a9ac33a37ac8b2779f4c52a3d7e0cf8da09d562ba0de6b30ff File poc.py
c2a2678f6bb0ff5805f0c3d95514ac6eeaeacd8a4b62bcc32a716639f7e62cc4 File bat.bat
b99161d933f023795afd287915c50a92df244e5041715c3381733e30b666fd3b File c.ps1
b77e4af833185c72590d344fd8f555b95de97ae7ca5c6ff5109a2d204a0d2b8e File Windows.Gaming.Preview.exe - VenomRAT
94.156.253[.]109 IPv4 VenomRAT C2
checkblacklistwords[.]eu Domain 恶意文件托管域名
http://checkblacklistwords[.]eu/check-u/robot?963421355?Ihead=true URL bat.bat文件
http://checkblacklistwords[.]eu/c.txt URL c.ps1文件
http://checkblacklistwords[.]eu/words.txt URL Windows.Gaming.Preview.exe文件

原文始发于微信公众号(军机故阁):CVE-2023-40477Github投毒始末

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月6日07:57:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2023-40477Github投毒始末https://cn-sec.com/archives/2091361.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息