Недавно обнаруженная атака вредоносного программного обеспечения CHAINSHOT с использованием уязвимости нулевого дня Adobe Flash, которая переносится несколькими документами вместе с зашифрованной вредоносной пейлоад.
Исследователи успешно взломали 512-битный ключ RSA и расшифровали пейлоад. Также они определили, что атака содержит несколько шагов, которые следуют за каждым без исключения шагом ввода.
Злоумышленники используют новый инструментарий, который выполняет роль загрузчика, чтобы разместить эксплойт Adobe Flash CVE-2018-5002.
Вредоносный документ Microsoft Excel содержит крошечный объект Shockwave Flash ActiveX, а свойство «Movie» содержит URL-адрес для загрузки Flash приложения.
Дальнейший анализ показал, что Flash приложение представляет собой запутанный загрузчик, который создает случайную пару ключей RSA с 512 бит в памяти процесса.
В этом случае секретный ключ остается в памяти, и открытый ключ будет отправлен на сервер злоумышленника для шифрования ключа AES (используется для шифрования пейлоад).
Позже зашифрованный пейлоад отправляется загрузчику и использует секретный ключ памяти для дешифрования 128-битного ключа AES и пейлоад.
Поскольку злоумышленник использует 512-битную пару ключей RSA, которая, как известно, небезопасна, исследователи получают закрытый ключ с помощью использования жестко закодированного показателя и открытого ключа.
Получение зашифрованного пейлоад шеллкода
128-разрядный ключ AES был расшифрован с использованием закрытого ключа, который был рассчитан небольшим общедоступным инструментом для получения пейлоад в шеллкоде.
Код:
—–BEGIN RSA PRIVATE KEY—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–END RSA PRIVATE KEY—–Таким образом, как только 128-разрядный ключ AES будет дешифрован, фактический пейлоад легко расшифруется, а пейлоад расшифрованного шеллкода дополнительно сожмется с помощью zlib.
Дальнейший анализ показал, что злоумышленник использует эксплойт и сложность пейлоад шеллкода, которая содержит собственные две PE-пейлоад.
Наконец, исследователь установил среду для анализа различных этапов и рабочих функций вредоносного программного обеспечения.
По словам
Ссылка скрыта от гостей
(
Ссылка скрыта от гостей
), после того, как эксплойт успешно получит права доступа RWE, выполнение передается в пейлоад шеллкода. Шеллкод загружает встроенный DLL, внутренне названный FirstStageDropper.dll, который мы называем CHAINSHOT.«FirstStageDropper.dll отвечает за инъекцию SecondStageDropper.dll в другой процесс для того, чтобы выполнить её. Хотя пейлоад шеллкода содержит только код для поиска и обхода EMET, FirstStageDropper.dll также содержит код для Kaspersky и Bitdefender. "
Конечный пейлоад отвечает за определение системы, отправку сведений о пользователе и процессах, выполняемых на машине.
Индикаторы компрометации
Код:
Adobe Flash Downloader
189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c
Adobe Flash Exploit (CVE-2018-5002)
3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497Источник:
Ссылка скрыта от гостей
