WINRAR RCE 漏洞聚焦：APT29 – 0day策略

APT 2个月前 admin

76 0 0

介绍

2023 年 9 月初，与俄罗斯对外情报局 (SVR) 有联系的组织 APT29 对阿塞拜疆、罗马尼亚、意大利和希腊等多个国家的大使馆发动了网络攻击。为了获得初始访问权限，该组织利用了 WinRAR 中的远程代码执行漏洞，记录为 CVE-2023-38831。本文将讨论此攻击的初始访问方面背后的技术细节，同时也考虑到社会政治背景。此外，本文将提供手动利用CVE-2023-38831的详细步骤。

攻击

APT29 使用网络钓鱼活动来分发提供初始访问权限的 RAR 文件。该网络钓鱼活动围绕宝马汽车的内部销售展开。作为该活动的一部分，我们发送了 200 多封电子邮件。该档案包含一个包含车辆技术细节的 PDF 文件，以及一个与 PDF 文件同名的文件夹。打开 PDF 后，会自动从有效负载服务器下载 PowerShell 脚本，并使用 IEX 在后台执行。

社会政治影响

这次攻击的动机很可能是网络间谍活动。APT29 很可能旨在收集有关阿塞拜疆与阿塞拜疆在纳戈尔诺-卡拉巴赫的攻势相关的战略活动的情报。其他目标国家，包括罗马尼亚、希腊和意大利，都与阿塞拜疆保持着牢固的外交关系。RARLabs 于 2023 年 8 月发布了 WinRAR 的更新版本，修复了 CVE-2023-38831。然而，有迹象表明，威胁行为者早在 2023 年初就已利用该问题，当时该问题尚未公开。此外，APT29 并不是唯一一个利用此问题的组织。在同一时间段内，另一个与俄罗斯政府有联系的组织 APT28 冒充乌克兰无人机培训学校，通过 CVE-2023-38831 传送 Rhadamanthys 信息窃取者。

APT 对零日漏洞的需求很高。在高风险漏洞公开之前对其进行利用对于政府支持的 APT 具有很高的战略影响。在这个特殊案例中，这次攻击不是为了经济利益，而是为了网络间谍活动。目前，全球网络安全格局的主题是威胁行为体利用武装冲突或自然灾害等危机。此外，一些武装冲突可能会大量转移到网络空间。网络攻击的低成本和高影响力是冲突转移到网络空间的主要原因之一。另一个原因可能是网络安全中持续存在的归因挑战。在网络中追踪攻击源具有挑战性，这可能会促进假旗行动（更多内容请参阅另一篇文章）。

利用 CVE-2023-38831

本节将介绍在 WinRAR 中利用 RCE 的步骤。

确保您使用的是 WinRAR <=6.22

CVE-2023-38831 仅适用于 WinRAR 6.23 以下版本。

设置利用条件

为了利用这个问题，我们将使用一个随机的 PDF 文件，我们将其称为bmw_m4.pdf。我们将 PDF 放入Document文件夹中。我们现在创建了一个与 PDF 同名的文件夹 ( bmw_m4.pdf )。在该文件夹中，我们放置了一个名为bmw_m4.pdf .cmd的 CMD 文件（请注意，“.cmd”之前有一个空格）。我们使用的 CMD 文件仅包含一行，即“calc.exe”，但是可以使用任何批处理负载。

创建档案

以下屏幕截图突出显示了创建存档的步骤。

步骤 1. 创建一个名称以“.pdf”结尾的文件夹并将其添加到 WinRAR 压缩文件中