黑客利用Excel文檔來執行ChainShot惡意軟體攻擊

針對近日曝光的 Adobe Flash 零日漏洞（CVE-2018-5002），已經出現了一款名叫 CHAINSHOT 的惡意軟體攻擊。其利用微軟 Excel 文件包含的微型 Shockwave Flash ActiveX 對象、以及一個所謂的「電影」的 URL 鏈接，忽悠人們去下載 Flash 應用程序。研究人員攻破了其採用的 512-bit RSA 密鑰，從而揭開了它的神秘面紗。

惡意 Shockwave Flash ActiveX 對象屬性

研究人員發現，該 Flash 應用程序其實是一個混淆的下載器：

進程會在內存中創建一個隨機的 512-bit RSA 密鑰對，將私鑰保留在內存中、並將公鑰發送到攻擊者的伺服器，以加密 AES 密鑰（用於加密有效負載）。

之後將加密的有效負載和現有的私鑰發送到下載程序，以解密128位AES密鑰和有效負載。Palo Alto Networks Unit 42 的研究人員破解了加密，並分享了他們的破解方法。

儘管私鑰僅保留在內存中，但公鑰的模數 n 被發送到了攻擊者的伺服器。

在伺服器端，模數與硬編碼指數 e 0x10001 一起使用，以加密此前用於加密漏洞和 shellcode 有效載荷的128-bit AES 密鑰。

揭秘 shellcode 有效載荷的 HTTP POST 請求（其模數 n 為十六進位）

一旦研究人員解密了 128-bit AES 密鑰，就能夠解密有效負載。

獲得 RWE 許可權之後，執行就會傳遞給 shellcode，然後在內部載入一個名為 FirstStageDropper.dll 的嵌入式 DLL 。

最後，研究人員分享了感染指征（Indicators of Compromise）：

Adobe Flash Downloader

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Adobe Flash Exploit（CVE-2018-5002）

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！