介绍
2023 年 9 月初,与俄罗斯对外情报局 (SVR) 有联系的组织 APT29 对阿塞拜疆、罗马尼亚、意大利和希腊等多个国家的大使馆发动了网络攻击。为了获得初始访问权限,该组织利用了 WinRAR 中的远程代码执行漏洞,记录为 CVE-2023-38831。本文将讨论此攻击的初始访问方面背后的技术细节,同时也考虑到社会政治背景。此外,本文将提供手动利用CVE-2023-38831的详细步骤。
攻击
APT29 使用网络钓鱼活动来分发提供初始访问权限的 RAR 文件。该网络钓鱼活动围绕宝马汽车的内部销售展开。作为该活动的一部分,我们发送了 200 多封电子邮件。该档案包含一个包含车辆技术细节的 PDF 文件,以及一个与 PDF 文件同名的文件夹。打开 PDF 后,会自动从有效负载服务器下载 PowerShell 脚本,并使用 IEX 在后台执行。
社会政治影响
这次攻击的动机很可能是网络间谍活动。APT29 很可能旨在收集有关阿塞拜疆与阿塞拜疆在纳戈尔诺-卡拉巴赫的攻势相关的战略活动的情报。其他目标国家,包括罗马尼亚、希腊和意大利,都与阿塞拜疆保持着牢固的外交关系。RARLabs 于 2023 年 8 月发布了 WinRAR 的更新版本,修复了 CVE-2023-38831。然而,有迹象表明,威胁行为者早在 2023 年初就已利用该问题,当时该问题尚未公开。此外,APT29 并不是唯一一个利用此问题的组织。在同一时间段内,另一个与俄罗斯政府有联系的组织 APT28 冒充乌克兰无人机培训学校,通过 CVE-2023-38831 传送 Rhadamanthys 信息窃取者。
APT 对零日漏洞的需求很高。在高风险漏洞公开之前对其进行利用对于政府支持的 APT 具有很高的战略影响。在这个特殊案例中,这次攻击不是为了经济利益,而是为了网络间谍活动。目前,全球网络安全格局的主题是威胁行为体利用武装冲突或自然灾害等危机。此外,一些武装冲突可能会大量转移到网络空间。网络攻击的低成本和高影响力是冲突转移到网络空间的主要原因之一。另一个原因可能是网络安全中持续存在的归因挑战。在网络中追踪攻击源具有挑战性,这可能会促进假旗行动(更多内容请参阅另一篇文章)。
利用 CVE-2023-38831
本节将介绍在 WinRAR 中利用 RCE 的步骤。
确保您使用的是 WinRAR <=6.22
CVE-2023-38831 仅适用于 WinRAR 6.23 以下版本。
设置利用条件
为了利用这个问题,我们将使用一个随机的 PDF 文件,我们将其称为bmw_m4.pdf。我们将 PDF 放入Document文件夹中。我们现在创建了一个与 PDF 同名的文件夹 ( bmw_m4.pdf )。在该文件夹中,我们放置了一个名为bmw_m4.pdf .cmd的 CMD 文件(请注意,“.cmd”之前有一个空格)。我们使用的 CMD 文件仅包含一行,即“calc.exe”,但是可以使用任何批处理负载。
创建档案
以下屏幕截图突出显示了创建存档的步骤。
步骤 1. 创建一个名称以“.pdf”结尾的文件夹并将其添加到 WinRAR 压缩文件中
步骤 2. 将合法的 PDF 文件附加到存档中,确保其名称与文件夹相同
步骤 3. 重命名文件夹并在名称末尾添加尾随空格
当我们尝试打开 PDF 时,我们的 CMD 负载会被执行:
漏洞评估
当用户从 WinRAR 的 UI 中双击“bmw_m4.pdf”时,WinRAR 将执行“ bmw_m4.pdf /bmw_m4.pdf .cmd ”。发生这种情况是因为 WinRAR 通过遍历所有存档条目来识别需要临时扩展的文件。如果目录共享所选条目的名称,则所选文件和该目录的文件都将提取到随机临时目录的根目录中。然后 WinRAR 调用 ShellExecuteExW,提供临时目录的路径。路径中的尾部空格会导致 ShellExecuteExW 调用 ApplyDefaultExts,从而执行带有 PIF、COM、EXE、BAT、LNK 或 CMD 扩展名的第一个文件。此行为可以在 ProcMon 的以下屏幕截图中看到:
因此,如果我们希望在双击 PDF 时实际打开 PDF(同时恶意负载在后台运行),我们可以将 PDF 作为十六进制放入 temp.txt 中,并按如下方式修改 CMD 负载:
certutil -f -decodegex temp.txt bmw_m4.pdf >null
del temp.txt
bmw_m4.pdf
calc.exe
del bmw_m4.pdf
结论
这种攻击将人为漏洞(社会工程)和技术漏洞(WinRAR RCE)链接在一起。大使馆、大学、发电厂等机构是网络间谍活动的主要目标,尤其是在地缘政治紧张时期。因此,工作人员必须了解潜在的安全问题并接受安全培训。此外,对于 IT 团队来说,确保所有软件都是最新的并定期进行漏洞扫描和渗透测试也同样重要。然而,人们应该记住,国家资助的参与者仍然可以利用零日漏洞。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):WINRAR RCE 漏洞聚焦:APT29 – 0day策略