CVE-2023-40477Github投毒始末

2024年3月6日07:57:17评论26 views字数 4470阅读14分54秒阅读模式

国庆结束了，40477投毒这个事很有参考性，也可以用于各种报告案例，所以整理了下事件情况（https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/）。

起始源于8月中推上曾哥发推说这个POC发现有问题，这个CVE号是WinRAR RCE漏洞，这个漏洞在 2023 年 6 月 8 日向供应商披露了该漏洞信息。在公开报告 CVE-2023-40477 四天后，一名攻击者使用名为halersplonk 向其 GitHub 存储库提交了一个虚假的 PoC 脚本。

其实HW和一些红蓝期间有关Github投毒的情况很多，已经不陌生了，但这种真实在野投毒案例还是很有参考性和用于写一些文案类。而且这个案例中，投毒时间与漏洞公开时间几乎是同一时间，脚本利用了名为 GeoServer 的应用程序中的 SQL 注入漏洞，为CVE-2023-25157的漏洞脚本。有团队分析了伪造的 PoC 脚本以及感染链中的所有链接，脚本目的是执行 VenomRAT的恶意exe文件。

投毒的POC是python脚本，原github已经404了，但还在virustotal的zip中可以找到了，名为CVE-2023-40477-main.zip，包信息如下：

Path = CVE-2023-40477-main.zipType = zipPhysical Size = 2360Comment = 82cb695f463b93b9cc089253cd6b5e32dce46c35Date Time Attr Size Compressed Name------------------- ----- ------------ ------------ ------------------------2023-08-21 21:15:49 D.... 0 0 CVE-2023-40477-main2023-08-21 21:15:49 ..... 752 442 CVE-2023-40477-main/README.md2023-08-21 21:15:49 ..... 3656 1424 CVE-2023-40477-main/poc.py------------------- ----- ------------ ------------ ------------------------

ZIP文件是打包下载了github投毒文件，README文件也写了一些诱导性的摘要和一个视频演示链接，演示内容也是运行投毒脚本的运行流程。

CVE-2023-40477Github投毒始末

这部分有价值信息分析下有，readme文件中的视频链接上传信息于2023 年 8 月 21 日晚上 10:20:32上传，121次播放次数，视频中演示的环境分析也是投毒者真实的环境，因为如上截图视频中任务管理器有Windows.Gaming.Preview的进程，与投毒脚本执行VenomRAT payload的进程是相同的（所以系统显示的时间是真实的可能会在关联分析时区位置方面有价值）。其中使用的bupsuite的zip文件，密码311138来源疑似为tg共享的，攻击者可能为该tg关注者的一员。

CVE-2023-40477Github投毒始末

然后是POC问题，投毒Python 脚本名为poc.py，它基于开源 CVE-2023-25157 PoC，并进行了一些改动，对 CVE-2023-25157 PoC 代码的更改包括：

删除有关 CVE-2023-25157 漏洞详细信息描述
删除表与网络相关的漏洞的代码行，例如名为PROXY和PROXY_ENABLED的变量设
修改了来自geoserver的字符串并用以利用
包含下载并执行批处理脚本的附加代码，并带有“检查依赖关系”注释

左侧 CVE-2023-25157 PoC 与右侧假 CVE-2023-40477 PoC 之间的比较

由于删除了几行代码，poc.py脚本不能正常运行。但是，添加到脚本中的恶意代码在脚本因异常结束之前会运行。投毒PoC的恶意代码如上右侧绿色代码行所示，在%TEMP%/bat.bat中创建了一个批处理脚本。该脚本将访问以下 URL 并运行：

脚本运行报错

恶意链接：http://checkblacklistwords[.]eu/check-u/robot?963421355?Ihead=true

这 URL 上的批处理脚本运行一个编码后的 PowerShell 脚本，该脚本将从checkblacklistwords[.]eu/c.txt下载另一个 PowerShell 脚本。然后，该脚本将此文件保存到%TEMP%c.ps1并运行它，如以下代码块所示：

CVE-2023-40477Github投毒始末

下载的PowerShell 脚本从checkblacklistwords[.]eu/words.txt下载可执行文件，并将其保存到%APPDATA%DriversWindows.Gaming.Preview.exe。PowerShell 脚本不仅运行可执行文件，还创建一个名为Windows.Gaming.Preview的计划任务，该任务每三分钟运行一次可执行文件，以持久运行此恶意有效负载。

分析Windows.Gaming.Preview.exe可执行文件是 VenomRAT 的变体，它与前面的README.md文件视频中显示的任务管理器中看到的运行进程同名。这表明威胁行为者在制作视频时可能已经在其系统上测试运行 VenomRAT 有效负载。

VenomRAT 的这个特定变体具有以下配置：

Por_ts = nullHos_ts = nullVer_sion = Venom RAT + HVNC + Stealer + Grabber v6.0.3In_stall = falseMTX = fqziwqjwgwzscvfyPaste_bin = http://checkblacklistwords[.]eu/list.txtAn_ti = falseAnti_Process = falseBS_OD = falseGroup = DefaultHw_id = HEX(MD5(<cpu count> + <username> + <hostname> + <os version> + <system directory>))Server_signa_ture = TtHk/GR7jC2p75o/t7g/BLsDYghocYu2[snip]Server_certificate = MIICOTCCAaKgAwIBAgIVAPyfwFFMs6h[snip]

配置Paste_bin的值为http://checkblacklistwords[.]eu/list.txt，可执行文件获取命令和控制 (C2) 位置。此 URL 内容中 C2 位于以下 IP 地址：

94.156.253[.]109:4449

这个改动的 VenomRAT 客户端会启动键盘记录器功能，将按键记录保存到%APPDATA%MyDataDataLogs_keylog_offline.txt。然后，客户端开始与 C2 服务器通信，并将处理服务器的命令进行响应，命令如下。

Command	Description
plu_gin	Invokes a plugin by name that is saved to a key in the registry via the save_Plugin command
HVNCStop	Gets a process by name cvtres and kills it.
loadofflinelog	Uploads the offline key logger file from %APPDATA%MyDataDataLogs_keylog_offline.txt
save_Plugin	Saves a plugin to the registry for loading via the plu_gin command. Plugins saved to a specified subkey in Software\<hardware id>
runningapp	Gets the running processes
keylogsetting	Provides a new key log configuration file that will save to %APPDATA%MyDataDataLogs.conf
init_reg	Deletes subkeys in Software\<hardware id>
Po_ng	Sends the interval between the last PING message sent to the C2 server and the receipt of the Po_ng command
filterinfo	Gets installed applications list from the registry (SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall) and the running processes.

根据 VenomRAT 样本的PE头，可执行文件是于 2023 年 2 月 8 日 22:10:28 UTC 编译的。发现超过 700 个 VenomRAT 样本具有相同的编译时间。这说明这个特定的样本可能是使用标准 VenomRAT 构建器创建的，该构建器使用了基本可执行文件，并用更新的配置设置功能对其进行了修改。

Unit42团队制作了此事件时间表如下：

CVE-2023-40477Github投毒始末

IOCs:

内容	种类	描述
7fc8d002b89fcfeb1c1e6b0ca710d7603e7152f693a14d8c0b7514d911d04234	File	CVE-2023-40477-main.zip
ecf96e8a52d0b7a9ac33a37ac8b2779f4c52a3d7e0cf8da09d562ba0de6b30ff	File	poc.py
c2a2678f6bb0ff5805f0c3d95514ac6eeaeacd8a4b62bcc32a716639f7e62cc4	File	bat.bat
b99161d933f023795afd287915c50a92df244e5041715c3381733e30b666fd3b	File	c.ps1
b77e4af833185c72590d344fd8f555b95de97ae7ca5c6ff5109a2d204a0d2b8e	File	Windows.Gaming.Preview.exe - VenomRAT
94.156.253[.]109	IPv4	VenomRAT C2
checkblacklistwords[.]eu	Domain	恶意文件托管域名
http://checkblacklistwords[.]eu/check-u/robot?963421355?Ihead=true	URL	bat.bat文件
http://checkblacklistwords[.]eu/c.txt	URL	c.ps1文件
http://checkblacklistwords[.]eu/words.txt	URL	Windows.Gaming.Preview.exe文件

原文始发于微信公众号（军机故阁）：CVE-2023-40477Github投毒始末

左青龙
微信扫一扫

右白虎
微信扫一扫

CVE-2023-40477Github投毒始末

针对区块链从业者的招聘陷阱：疑似Lazarus（APT-Q-1）窃密行动分析

美国主要医疗健康系统遭网络攻击，导致临床服务中断

2024版OWASP移动应用系统10大安全风险简析

警惕这几类网络钓鱼陷阱！（附网络钓鱼趋势报告）

俄罗斯APT组织及其常见攻击策略和技术解析

2024年网络威胁概览（08）| 威胁情报：网络防御的前瞻性方法

FIN7瞄准汽车行业：利用Carbanak后门

GPT-4搬上政府绝密云！美国间谍机构率先创建隔离的绝密生成式人工智能服务

基于 C-V2X 直连通信的车辆编队安全威胁分析

最新报告显示：2023年是工控网络攻击最少的一年

发表评论

在线咨询

微信