|
前言 日前360互联网安全中心监控到有攻击者利用CVE-2018-8373漏洞实施挂马攻击来传播远控木马和密码窃取者木马。这是一个在今年新出现的高危IE浏览器脚本引擎远程代码执行漏洞,该漏洞会影响IE9、IE10和IE11三个版的IE浏览器。 CVE-2018-8373也是今年以来被发现的影响WindowsVBScript Engine的第三个漏洞,其中前两个均为360公司的安全研究人员首次发现,这三个漏洞均影响IE浏览器,且可以通过微软Office文档进行攻击,三个“双杀” 挂马分析
从挂马POC来看发现此漏洞利用使用了与CVE-2018-8174相同的混淆技术,CVE-2018-8174是5月份修补的VBScript引擎远程执行代码漏洞。
利用挂马下执行的PowerShell脚本首先会下载一个Downloader程序”S1.exe”到本地并保存成名为atum21.exe的程序来执行。atum21.exe执行后会关闭Windows系统防火墙、下载并执行密码盗取程序,如果检测到没有杀软则会额外下载并执行QuasarRAT远程控制程序。 窃密者木马 v1.exe(窃密)木马:经分析该文件为python编写,完成后再使用Pyinstaller将其打包成可执行程序进行传播。通过对其反编译可以拿到py源码,其主要功能为提取Chrome、Firefox、IE三款浏览器中自动保存的用户密码及Cookies。
针对Chrome和Firefox浏览器,木马首先会连接浏览器保存自动登录密码信息的Sqlite数据库,然后获取其中存储的用户名、密码信息然,最后Post到指定服务器地址(hxxp://0x0x[.]co/ver.php)。
对于IE浏览器,则尝试获取浏览器中:Facebook、Gmail、Google、Paypal、Baidu、Twitter、Reddit、netflix、Instagram网站保存的用户名、密码及Cookies数据。 提取出用户名、密码、Cookies等数据使用Zlib压缩并转换成Base64后Post到与上文中相同的服务器中(hxxp://0x0x[.]co/ver.php)。
QuasarRAT远控
v2.exe为QuasarRAT远程控制程序的受控端。该远控是由开源代码修改而来,远控连接的主机地址在程序代码中中使用了AES 加salt进行加密,解密后可知该主机域名为:r3m0te.65cdn[.]com
QuasarRAT远控程序主要功能及特性如下: 1. TCP网络(IPv4和IPv6支持) 2. NetSerializer 3. 压缩(QuickLZ)和加密(AES-128)通信 4. 多线程 5. UPnP支持 6. No-Ip.com支持 7. 访问网站(隐藏和可见) 8. 显示消息框 9. 任务管理器 10. 文件管理器 11. 启动管理器 12. 远程桌面 13. 远程Shell 14. 下载并执行程序 15. 上传并执行程序 16. 系统信息查看 17. 打开摄像头 18. 计算机重启、关机、待机 19. 键盘记录(Unicode支持) 20. 反向代{过}{滤}理(SOCKS5) 21. 密码提取(常见浏览器和FTP客户端)
22. 注册表编辑器
结语 鉴于此漏洞为高危漏洞且已有在野攻击利用,做为第一道防线——建议用户安装最新的安全补丁以防止漏洞利用。微软已经在8月份的漏洞修复中修复了CVE-2018-8373漏洞。
建议广大用户使用安全软件安装此漏洞补丁以防御此挂马攻击。 | 
发表于 2018-9-29 16:19:44
发表于 2018-9-29 19:04:42
