千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马

渗透技巧 1年前 (2023) admin
182 0 0
千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马

2023 年 8 月 17 日,业界披露了 WinRAR 的远程代码执行漏洞,编号为 CVE-2023-40477。该漏洞细节发布四天后,一个名为 halersplonk 的攻击者在 GitHub 上部署了一个虚假的 PoC 脚本。该虚假的 PoC 脚本基于公开公用的 PoC 脚本(CVE-2023-251157),该脚本利用名为 GeoServer 的应用程序中的 SQL 注入漏洞进行攻击。在分析了该虚假 PoC 脚本后,研究人员发现该脚本最终会安装 VenomRAT 远控木马。


一旦漏洞被公开披露,攻击者就会迅速采取行动。由于 WinRAR 在全球的用户超过 5 亿,其软件的漏洞会被广为关注。


以假乱真


一位身份不明的攻击者使用 halersplonk 为名,公开发布 WinRAR 的远程代码执行漏洞(CVE-2023-40477)的虚假 PoC。这个脚本不仅不是针对该漏洞的 PoC,还是针对另一个软件 GeoServer 漏洞(CVE-2023-25157)的 PoC。


WinRAR 的 CVE-2023-40477 是一个远程代码执行漏洞。ZerodayInitiative 最早在 2023 年 6 月 8 日报告了该漏洞,并在 2023 年 8 月 17 日将漏洞公开。攻击者在漏洞公开仅仅四天后,就将恶意文件提交到 GitHub 上。


研究人员称,虚假的 PoC 被存储在名为 halersplonk 的用户的 GitHub 仓库中。目前该仓库已经被删除,无法进行访问。


千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马


伪造的 PoC 脚本是使用 Python 编写的,已经上传到了 VirusTotal 中。文件名为 CVE-2023-40477-main.zip,具体来说是 poc.py。下面列出了压缩文件中的内容,该压缩文件是通过单击 GitHub 页面中的下载按钮下载整个仓库生成的。

Listing archive: CVE-2023-40477-main.zip
--
Path = CVE-2023-40477-main.zip
Type = zip
Physical Size = 2360
Comment = 82cb695f463b93b9cc089253cd6b5e32dce46c35
Date Time Attr Size Compressed Name
------------------- ----- ------------ ------------ ------------------------
2023-08-21 21:15:49 D.... 0 0 CVE-2023-40477-main
2023-08-21 21:15:49 ..... 752 442 CVE-2023-40477-main/README.md
2023-08-21 21:15:49 ..... 3656 1424 CVE-2023-40477-main/poc.py
------------------- ----- ------------ ------------ ------------------------
2023-08-21 21:15:49 4408 1866 2 files, 1 folders

(向右滑动,查看更多


社会工程学


下图为攻击者提供的 README.md 文件,介绍了 CVE-2023-40477 漏洞的基本情况与 poc.py 脚本的使用说明,进一步诱骗用户上钩。文件中还提供了部署在 Streamable.com 的视频链接,由于视频已于 2023 年 8 月 25 日上午过期,已经无法再访问。


千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马


查看 Streamable 的元数据,可以发现视频上传的时间与制作虚假 PoC 的时间相吻合。根据元数据,该视频的播放次数超过 100 次。


千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马


视频虽然没有了,但是可以获取得到视频的两个缩略图。用户播放视频前,Streamable 显示的第一张图片中是桌面与任务管理器。如下所示,任务管理器中有一个名为 Windows.Gaming.Preview 的进程,该进程与后面介绍的 VenomRAT 远控木马同名。研究人员怀疑,攻击者使用相同的系统测试 Payload 并制作演示视频。


千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马


第二张图片中有 Burp Suite 的压缩包、密码与 PuTTY 客户端,攻击者假装展示如何制作恶意压缩文件并通过虚假 PoC 利用漏洞(CVE-2023-40477)。屏幕截图中还显示了 Windows 系统时间为 3:18 PM 8/21/2023,据此可以推测攻击者所在的时区。


千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马


研究人员认为视频中的压缩文件 burpsuite_pro_v2023.2.2.zip 是从 Telegram 中获取的,如下所示。研究人员没有进一步确认该 Burp Suite 应用程序是否为合法版本,毕竟可以通过官方渠道下载。


千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马


虚假PoC


压缩文件中的虚假 PoC 脚本名为 poc.py,攻击者基于开源的 CVE-2023-25157 进行了修改。如下所示,修改包括以下部分:


  • 删除了有关 CVE-2023-25157 漏洞详细信息的介绍

  • 删除了表示该漏洞与网络漏洞有关的代码,如名为 PROXY 与 PROXY_ENABLED 的变量

  • 修改了包含 geoserver 的字符串

  • 新增下载并执行批处理脚本的代码,并注释为“检查依赖关系”



千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马


由于删除了部分代码,poc.py 脚本不能够完整正常运行。但添加到脚本中的恶意代码,可以在脚本因异常结束前完成执行,如下所示。


千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马


攻击者创建的批处理脚本 %TEMP%/bat.bat 可以访问以下 URL,并执行响应结果。

http://checkblacklistwords[.]eu/check-u/robot?963421355?Ihead=true

(向右滑动,查看更多


URL 上部署的脚本会运行一个经过编码的 PowerShell 脚本,该脚本会通过 checkblacklistwords[.]eu/c.txt 下载另一个 PowerShell 脚本。脚本会被保存在 %TEMP%c.ps1 并运行,如下所示:


千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马


下载的 PowerShell 脚本会再通过 checkblacklistwords[.]eu/words.txt 下载可执行文件,并将其保存到 %APPDATA%DriversWindows.Gaming.Preview.exe。PowerShell 脚本不仅运行可执行文件,还会创建一个名为 Windows.Gaming.Preview 的计划任务,该任务每三分钟运行一次可执行文件进行持久化。


可执行文件 Windows.Gaming.Preview.exe 是 VenomRAT 远控木马的变种,与前文介绍的任务管理器中的进程同名。这表明,攻击者在制作视频时可能就已经在系统上运行 VenomRAT 远控木马了。


该远控木马配置文件如下所示:

Por_ts = null
Hos_ts = null
Ver_sion = Venom RAT + HVNC + Stealer + Grabber v6.0.3
In_stall = false
MTX = fqziwqjwgwzscvfy
Paste_bin = http://checkblacklistwords[.]eu/list.txt
An_ti = false
Anti_Process = false
BS_OD = false
Group = Default
Hw_id = HEX(MD5(<cpu count> + <username> + <hostname> + <os version> + <system directory>))
Server_signa_ture = TtHk/GR7jC2p75o/t7g/BLsDYghocYu2[snip]
Server_certificate = MIICOTCCAaKgAwIBAgIVAPyfwFFMs6h[snip]

(向右滑动,查看更多


配置中 Paste_bin 为 http://checkblacklistwords[.]eu/list.txt,可执行文件与该地址通信获取 C&C 服务器。通过该 URL 可知 C&C 服务器位于 94.156.253[.]109:4449。


该 VenomRAT 木马会启动按键记录功能,将按键保存到 %APPDATA%MyDataDataLogs_keylog_offline.txt。木马与 C&C 服务器进行通信,支持的命令如下所示:


千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马


这个 VenomRAT 木马是在 2023 年 2 月 8 日 22:10:28 编译的,研究人员一共发现超过七百个 VenomRAT 样本文件都具有相同的编译时间戳。这都表明,木马样本文件可能是使用统一的 VenomRAT 构建工具创建的。


事件时间表


千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马


攻击者在 CVE-2023-40477 公开披露前十天创建了 checkblacklistwords[.]eu 域名,这也是将虚假 PoC 代码提交到 GitHub 的前十四天。该域名的 HTTP 响应中包含 Last-Modified 字段,值为 Sun, 16 Jul 2023 18:43:54 GMT,这表示攻击者可能在漏洞公开前一个多月就已经做好准备。


结论


漏洞公开后,未知攻击者试图通过虚假 PoC 来进行攻击。但该 PoC 是虚假的,并没有利用 WinRAR 的漏洞,只是想要通过 WinRAR 的 RCE 漏洞来进行攻击。虚假 PoC 脚本中使用了 GeoServer 的漏洞 PoC,最终安装 VenomRAT 远控木马。


IOC


7fc8d002b89fcfeb1c1e6b0ca710d7603e7152f693a14d8c0b7514d911d04234

ecf96e8a52d0b7a9ac33a37ac8b2779f4c52a3d7e0cf8da09d562ba0de6b30ff

c2a2678f6bb0ff5805f0c3d95514ac6eeeaacd8a4b62bcc32a716639f7e62cc4

b99161d933f023795afd287915c50a92df244e5041715c3381733e30b666fd3b

b77e4af833185c72590d344fd8f555b95de97ae7ca5c6ff5109a2d204a0d2b8e

94.156.253[.]109

checkblacklistwords[.]eu

http://checkblacklistwords[.]eu/check-u/robot?963421355?Ihead=true

http://checkblacklistwords[.]eu/c.txt

http://checkblacklistwords[.]eu/words.txt


FreeBuf粉丝交流群招新啦!

在这里,拓宽网安边界

甲方安全建设干货;

乙方最新技术理念;

全球最新的网络安全资讯;

群内不定期开启各种抽奖活动;

FreeBuf盲盒、大象公仔……

扫码添加小蜜蜂微信回复“加群”,申请加入群聊

千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马


千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马
千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马

https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/

千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马

千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马

千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马

原文始发于微信公众号(FreeBuf):千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马

版权声明:admin 发表于 2023年10月4日 上午9:31。
转载请注明:千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...