木马
【微步在线报告】境外黑客利用最新WinRAR漏洞盗取比特币
微步情报局 2019-03-01 19:15:23 2025人浏览

TAG:境外、远控、钓鱼、黑客、比特币

TLP白(报告转发及使用不受限制)

日期:2019-02-26

 

概要

2019年2月20日,国外安全厂商CheckPoint披露了解压软件WinRAR存在长达19年的代码执行漏洞(CVE-2018-20250)[1],漏洞POC代码于22日在互联网公开[2],微步在线监测发现近日已经出现大量利用该漏洞发起攻击的木马样本。2月26日,微步在线威胁情报云即捕获了一个境外黑客利用该漏洞发起攻击的样本,具体情况包括:

Ø   木马样本伪装成“教程”音频进行传播,结合CVE-2018-20250漏洞释放AsyncRAT木马。

Ø   AsyncRAT为一款国外较为流行的远程控制木马,具备桌面控制、情报信息窃取等功能。

Ø   关联发现同类木马近期还在伪装成远控工具在黑客论坛传播,木马C&C还存在虚假页面以掩盖其真实目的。

Ø   攻击者自2019年1月开始活跃,疑似位于欧洲,主要目的为窃取比特币,目前尚处于攻击早期阶段。

背景

2月26日,微步在线威胁情报云捕获到一个利用Winrar漏洞(CVE-2018-20250)传播AsyncRAT远控木马的最新样本。样本文件名为tutorialas.rar(教程),直接打开后展示“Perskaityk.txt”(立陶宛语说明文档)和“tutorial.mp3”(乱码文件),如下图所示:

image.png

image.png

image.png


与此同时漏洞触发,会将名为“nvcontainer.exe”的木马文件写入至开机启动目录中(C:../AppData\\Roaming\\Microsoft\\Windows\\StartMenu\\Programs\\Startup\\),待机器重启后木马自动执行,并与C&C服务器trytotrackme.pw进行通信。


image.png

image.png 

样本分析

上述恶意压缩包样本释放的木马nvcontainer.exe经过加密混淆,我们通过C&C(trytotrackme.pw)关联到了同款未加密木马,经过分析识别属于.Net架构开发的AsyncRAT v1.8,为国外比较流行的远程控制木马。

image.png

image.png

该样本基本信息如下:

文件类型 PE32 executable (console) Intel 80386, for MS Windows
文件大小 1700KB
MD5 d33eeca22b98f7b6c1714f296840671b
SHA1 14bd1ffcb3c16bb1b6880f977e5569ad9dac80bf
SHA256 02ab781a1c197d58b8a72963d5ddf6f31776cda2fa48d02bfe611030572c14d0
时间戳 2019-01-13 03:14:24
涉及C&C/URL trytotrackme.pw

1、木马启动后会创建线程监测剪切板内存信息模式,一旦发现将bitcoin钱包地址信息就替换为:1LsLoq3MQku3CTu2dXrCFvFAyQYxY9kgbm。

image.png

image.png


2、在自启动项目录(Software\\Microsoft\\Windows\\CurrentVersion\\Run\\)创建自启动子项<FileName>,实现驻留。

image.png

3、获取C&C(trytotrackme.pw:6603/6604)并建立通信连接,向C&C发送系统配置信息。

image.png

4、接收并执行C&C远程控制指令。

指令RID 协议解析 备注
0 Reflection  
1 RemoteDesktopOpen 开启远程桌面
2 RemoteDesktopSend 远程桌面控制
3 ErrorMassages  
4 ClientShutdown 远程关机
5 ClientDelete 远程删除
6 ClientUpdate 远程更新
7 Reflection  
8 MsgReceived 接收消息
9 Ping  

关联分析

对trytotrackme.pw相关样本关联发现,黑客主要将木马存储于uploadexe.com、hellofbi.com等匿名网盘中,以规避对其身份的追踪,其C&C命名方式也暗含挑衅成分(try to track me)。而通过其木马内嵌的钱包地址关联发现,有名为“supportinu”的用户在曾于2019年2月15日黑客论坛www.nulled.to发布破解版远控工具AspireCrypterRAT V1.6,分析发现该程序会从btc2agc.com下载名为drivers.rar的后门文件,其功能于与之前分析的样本基本一致,属于替换比特币钱包的木马。

image.png

image.png

域名btc2agc.com于2019年1月10日注册,当前存在一个号称比特币交易平台的页面,但大多数链接为空,主页代码基本是从境外社工库网站http://weleakinfo.com/复制而来,研判认为属于虚假网站以掩盖其非法用途。

image.png

image.png

综合上述情况分析认为,幕后攻击者疑似位于欧洲,善用多种远控工具,常在黑客论坛活跃,以伪装软件的方式传播盗取比特币木马,从其基础设施启用时间及比特币钱包转账情况判断此次攻击尚处于早期阶段。相关信息关联如下图所示:

image.png


[1] https://research.checkpoint.com/extracting-code-execution-from-winrar/

[2] https://github.com/WyAtu/CVE-2018-20250/blob/master/README.md

小白 2019-03-14 11:52:25 回复
不错不错
匿名用户 2019-03-13 18:05:37 回复
这个是真的好!
匿名用户 2019-03-01 19:36:33 回复
可以啊,我的歌