千万别被钓鱼！虚假 CVE-2023-40477 PoC 传播远控木马

2023 年 8 月 17 日，业界披露了 WinRAR 的远程代码执行漏洞，编号为 CVE-2023-40477。该漏洞细节发布四天后，一个名为 halersplonk 的攻击者在 GitHub 上部署了一个虚假的 PoC 脚本。该虚假的 PoC 脚本基于公开公用的 PoC 脚本（CVE-2023-251157），该脚本利用名为 GeoServer 的应用程序中的 SQL 注入漏洞进行攻击。在分析了该虚假 PoC 脚本后，研究人员发现该脚本最终会安装 VenomRAT 远控木马。

一旦漏洞被公开披露，攻击者就会迅速采取行动。由于 WinRAR 在全球的用户超过 5 亿，其软件的漏洞会被广为关注。

一位身份不明的攻击者使用 halersplonk 为名，公开发布 WinRAR 的远程代码执行漏洞（CVE-2023-40477）的虚假 PoC。这个脚本不仅不是针对该漏洞的 PoC，还是针对另一个软件 GeoServer 漏洞（CVE-2023-25157）的 PoC。

WinRAR 的 CVE-2023-40477 是一个远程代码执行漏洞。ZerodayInitiative 最早在 2023 年 6 月 8 日报告了该漏洞，并在 2023 年 8 月 17 日将漏洞公开。攻击者在漏洞公开仅仅四天后，就将恶意文件提交到 GitHub 上。

研究人员称，虚假的 PoC 被存储在名为 halersplonk 的用户的 GitHub 仓库中。目前该仓库已经被删除，无法进行访问。

伪造的 PoC 脚本是使用 Python 编写的，已经上传到了 VirusTotal 中。文件名为 CVE-2023-40477-main.zip，具体来说是 poc.py。下面列出了压缩文件中的内容，该压缩文件是通过单击 GitHub 页面中的下载按钮下载整个仓库生成的。

Listing archive: CVE-2023-40477-main.zip
--
Path = CVE-2023-40477-main.zip
Type = zip
Physical Size = 2360
Comment = 82cb695f463b93b9cc089253cd6b5e32dce46c35
Date Time Attr Size Compressed Name
------------------- ----- ------------ ------------ ------------------------
2023-08-21 21:15:49 D.... 0 0 CVE-2023-40477-main
2023-08-21 21:15:49 ..... 752 442 CVE-2023-40477-main/README.md
2023-08-21 21:15:49 ..... 3656 1424 CVE-2023-40477-main/poc.py
------------------- ----- ------------ ------------ ------------------------
2023-08-21 21:15:49 4408 1866 2 files, 1 folders

（向右滑动，查看更多）






社会工程学
















下图为攻击者提供的 README.md 文件，介绍了 CVE-2023-40477 漏洞的基本情况与 poc.py 脚本的使用说明，进一步诱骗用户上钩。文件中还提供了部署在 Streamable.com 的视频链接，由于视频已于 2023 年 8 月 25 日上午过期，已经无法再访问。






查看 Streamable 的元数据，可以发现视频上传的时间与制作虚假 PoC 的时间相吻合。根据元数据，该视频的播放次数超过 100 次。





视频虽然没有了，但是可以获取得到视频的两个缩略图。用户播放视频前，Streamable 显示的第一张图片中是桌面与任务管理器。如下所示，任务管理器中有一个名为 Windows.Gaming.Preview 的进程，该进程与后面介绍的 VenomRAT 远控木马同名。研究人员怀疑，攻击者使用相同的系统测试 Payload 并制作演示视频。





第二张图片中有 Burp Suite 的压缩包、密码与 PuTTY 客户端，攻击者假装展示如何制作恶意压缩文件并通过虚假 PoC 利用漏洞（CVE-2023-40477）。屏幕截图中还显示了 Windows 系统时间为 3:18 PM 8/21/2023，据此可以推测攻击者所在的时区。





研究人员认为视频中的压缩文件 burpsuite_pro_v2023.2.2.zip 是从 Telegram 中获取的，如下所示。研究人员没有进一步确认该 Burp Suite 应用程序是否为合法版本，毕竟可以通过官方渠道下载。









虚假PoC
















压缩文件中的虚假 PoC 脚本名为 poc.py，攻击者基于开源的 CVE-2023-25157 进行了修改。如下所示，修改包括以下部分：





删除了有关 CVE-2023-25157 漏洞详细信息的介绍


删除了表示该漏洞与网络漏洞有关的代码，如名为 PROXY 与 PROXY_ENABLED 的变量


修改了包含 geoserver 的字符串


新增下载并执行批处理脚本的代码，并注释为“检查依赖关系”









由于删除了部分代码，poc.py 脚本不能够完整正常运行。但添加到脚本中的恶意代码，可以在脚本因异常结束前完成执行，如下所示。





攻击者创建的批处理脚本 %TEMP%/bat.bat 可以访问以下 URL，并执行响应结果。




http://checkblacklistwords[.]eu/check-u/robot?963421355?Ihead=true

（向右滑动，查看更多）


URL 上部署的脚本会运行一个经过编码的 PowerShell 脚本，该脚本会通过 checkblacklistwords[.]eu/c.txt 下载另一个 PowerShell 脚本。脚本会被保存在 %TEMP%c.ps1 并运行，如下所示：





下载的 PowerShell 脚本会再通过 checkblacklistwords[.]eu/words.txt 下载可执行文件，并将其保存到 %APPDATA%DriversWindows.Gaming.Preview.exe。PowerShell 脚本不仅运行可执行文件，还会创建一个名为 Windows.Gaming.Preview 的计划任务，该任务每三分钟运行一次可执行文件进行持久化。


可执行文件 Windows.Gaming.Preview.exe 是 VenomRAT 远控木马的变种，与前文介绍的任务管理器中的进程同名。这表明，攻击者在制作视频时可能就已经在系统上运行 VenomRAT 远控木马了。


该远控木马配置文件如下所示：
Por_ts = null
Hos_ts = null
Ver_sion = Venom RAT + HVNC + Stealer + Grabber v6.0.3
In_stall = false
MTX = fqziwqjwgwzscvfy
Paste_bin = http://checkblacklistwords[.]eu/list.txt
An_ti = false
Anti_Process = false
BS_OD = false
Group = Default
Hw_id = HEX(MD5(<cpu count> + <username> + <hostname> + <os version> + <system directory>))
Server_signa_ture = TtHk/GR7jC2p75o/t7g/BLsDYghocYu2[snip]
Server_certificate = MIICOTCCAaKgAwIBAgIVAPyfwFFMs6h[snip]

（向右滑动，查看更多）


配置中 Paste_bin 为 http://checkblacklistwords[.]eu/list.txt，可执行文件与该地址通信获取 C&C 服务器。通过该 URL 可知 C&C 服务器位于 94.156.253[.]109:4449。


该 VenomRAT 木马会启动按键记录功能，将按键保存到 %APPDATA%MyDataDataLogs_keylog_offline.txt。木马与 C&C 服务器进行通信，支持的命令如下所示：





这个 VenomRAT 木马是在 2023 年 2 月 8 日 22:10:28 编译的，研究人员一共发现超过七百个 VenomRAT 样本文件都具有相同的编译时间戳。这都表明，木马样本文件可能是使用统一的 VenomRAT 构建工具创建的。






事件时间表



















攻击者在 CVE-2023-40477 公开披露前十天创建了 checkblacklistwords[.]eu 域名，这也是将虚假 PoC 代码提交到 GitHub 的前十四天。该域名的 HTTP 响应中包含 Last-Modified 字段，值为 Sun, 16 Jul 2023 18:43:54 GMT，这表示攻击者可能在漏洞公开前一个多月就已经做好准备。






结论
















漏洞公开后，未知攻击者试图通过虚假 PoC 来进行攻击。但该 PoC 是虚假的，并没有利用 WinRAR 的漏洞，只是想要通过 WinRAR 的 RCE 漏洞来进行攻击。虚假 PoC 脚本中使用了 GeoServer 的漏洞 PoC，最终安装 VenomRAT 远控木马。






IOC
















7fc8d002b89fcfeb1c1e6b0ca710d7603e7152f693a14d8c0b7514d911d04234
ecf96e8a52d0b7a9ac33a37ac8b2779f4c52a3d7e0cf8da09d562ba0de6b30ff
c2a2678f6bb0ff5805f0c3d95514ac6eeeaacd8a4b62bcc32a716639f7e62cc4
b99161d933f023795afd287915c50a92df244e5041715c3381733e30b666fd3b
b77e4af833185c72590d344fd8f555b95de97ae7ca5c6ff5109a2d204a0d2b8e
94.156.253[.]109
checkblacklistwords[.]eu
http://checkblacklistwords[.]eu/check-u/robot?963421355?Ihead=true
http://checkblacklistwords[.]eu/c.txt
http://checkblacklistwords[.]eu/words.txt


【FreeBuf粉丝交流群招新啦！
在这里，拓宽网安边界

甲方安全建设干货；
乙方最新技术理念；
全球最新的网络安全资讯；
群内不定期开启各种抽奖活动；
FreeBuf盲盒、大象公仔……
扫码添加小蜜蜂微信回复“加群”，申请加入群聊】





https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/






原文始发于微信公众号（FreeBuf）：千万别被钓鱼！虚假 CVE-2023-40477 PoC 传播远控木马