黑客利用Excel文档来执行ChainShot恶意软件攻击

针对近日曝光的 Adobe Flash 零日破绽(CVE-2018-5002),已经呈现了一款名叫 CHAINSHOT 的恶意软件进击。 其使用微软 Excel 文件包孕的微型 Shockwave Flash ActiveX 工具、以及一个所谓的“片子”的 URL 链接,忽悠人们去下载 Flash 利用法度榜样。钻研职员攻破了其采纳的 512-bit RSA 密钥,从而揭开了它的神秘面纱。

恶意 Shockwave Flash ActiveX 工具属性

钻研职员发明,该 Flash 利用法度榜样着实是一个肴杂的下载器:

进程会在内存中创建一个随机的 512-bit RSA 密钥对,将私钥保留在内存中、并将公钥发送到进击者的 办事器 ,以加密 AES 密钥(用于加密有效负载)。

之后将加密的有效负载和现有的私钥发送到下载法度榜样,以解密128位AES密钥和有效负载。 Palo Alto Networks Unit 42 的钻研职员破解了加密,并分享了他们的破解措施。

只管私钥仅保留在内存中,但公钥的模数 n 被发送到了进击者的办事器。

[1] [2]下一页

在办事器端,模数与硬编码指数 e 0x10001 一路应用,以加密此前用于加密破绽和 shellcode 有效载荷的128-bit AES 密钥。

揭秘 shellcode 有效载荷的 HTTP POST 哀求(其模数 n 为十六进制)

一旦钻研职员解密了 128-bit AES 密钥,就能够解密有效负载。

得到 RWE 权限之后,履行就会通报给 shellcode,然后在内部加载一个名为 FirstStageDropper.dll 的嵌入式 DLL 。

着末,钻研职员分享了沾问鼎征(Indicators of Compromise):

Adobe Flash Downloader

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Adobe Flash Exploit(CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包