序言
近日,盛邦安全墩台生物医学监测到几起针对安全人员的钓攻击。当中两例借助 MS Office Word 0DAY 进行钓,在 github.com 和 Telegram 聊天室中公开 0DAY 利用流程,当中并没有包含真正的借助流程,但是却绑定了地牢。运转后浏览和执行地牢流程,地牢使用 TOR 非官方数据传输骇客掌控伺服器,接受骇客掌控。平时浏览运转网络上的安全漏洞借助流程时要科砂藓小心,避免成为骇客的 ” 牛羊肉 “。
样品重要信息
钓门牌号:https://github.com/researchkendra91(现阶段已封禁)
钓门牌号:https://github.com/octosec45/ms-word-rce-0day-poc-2023(现阶段仍生存)
样品名:poc.py
MD5:70182e6523bf1d9106055881b5c93e49
SHA256:c2bcda29fed175e127bf4ba66de7144509ad7d34627020444a36466b39ffcd9f
样品名:cveswindows.exe
MD5:1daf1ae4b628a3a2dabacfe41a81b893
SHA256:01055e217335489d11bfba457b0ced01a06afe2270e4eec442347c93794df578
样品名:cveslinux
MD5:f9b1f07ce6c2cd4a26461124a483ae46
SHA256:e582650a3e9db2f77022317db1c2c9f01411ef5333d83bd52fd9b11102a3cdfd
poc.py 预测
在 github.com 上的钓页面中,包含了 MS Office Word 0DAY 借助流程 poc.py 和一段使用帮助,如下图所示:
在 poc.py 的末尾,有段帮助重要信息,表明这是 CVE-2023-40454 的借助流程,如下图所示:初步看起来好像没什么问题。但是一查发现,CVE-2023-40454 并不存在。如果再仔细点,在 poc.py 中,还有一段可疑代码,如下图所示:这段代码根据 Win 或者其他系统,分别访问https://github.com/octosec45/ms-word-rce-0day-poc-2023/raw/main/gitignore/cveswindows.zip
或者
https://github.com/octosec45/ms-word-rce-0day-poc-2023/raw/main/gitignore/cveslinux.zip
浏览不同的 zip 文件,然后解压再运转,解压密码为 “cVe35364%”。
本次预测 Win 系统下的地牢流程 cveswindows.zip,当中包含 cveswindows.exe,功能与其他版本(cveslinux.zip)的地牢基本相同。
cveswindows.exe 在 2023-05-05 被上传到 virustotal.com 进行检测,当中有使用者表明该样品曾出现在 Telegram 聊天室的钓文件中,如下图所示:
cveswindows.exe 预测该样品使用 go 语言编写,反编译后可以看到大量引用的 go 模块字符串,原始工程文件名为 implant_windows.go,go 版本为 go1.20.2,如下图所示:
样品运转后,将执行一个名为 port_check 的函数,该函数主要检测本地端口 1337 是否开启,如果没有开启,则继续往下执行;如果开启,则退出流程。该功能可以实现只运转一个实例,如下图所示:然后判断是否是管理员,再判断%ProgramFiles% 和 %LOCALAPPDATA% 路径下是否特定文件夹名,文件夹名包括:WindowsUpdateTaskUAACore、ChromeUpdateTaskMachinCore、ChromeUpdateTaskMachinCore 等。如果不存在,则复制自身文件到当中一个文件夹下,再创建任务计划,每天 18:00 启动地牢流程,如下图所示:
接下来访问 “https://dist.torproject.org/torbrowser”,浏览 tor-expert-bundle 并解压,然后释放 tor.exe、obfs4proxy.exe 和 TOR 数据传输需要的配置文件到创建计划任务时的地牢 exe 路径下,文件夹名为随机命名,然后配置 TOR 连接,再启动 tor.exe,完成 TOR 网络的连接。如d2vkyd.onion/0011378b1fe87c721bbd4e4e2d3d26111869c51cd37960dbe518aade0b6529aa”,进行上线,如下图所示:上线成功后,将接受服务器返回的重要信息,然后解析数据执行骇客命令,可以实现上传指定文件、浏览指定文件、创建 cmd.exe 或 powershell.exe 执行流程。笔者调试时,未返回有效数据。上传指定文件相关代码,如下图所示:
浏览指定文件相关代码,如下图所示:创建 cmd.exe 执行流程相关代码,如下图所示:创建 powershell.exe 执行流程相关代码,如下图所示:此外,代码中还包含名为 spread_USB 的函数,实现 USB 传播地牢的功能,但是还有复杂的逻辑判断后才运转该功能,笔者暂时没有找到启用该功能的条件。如下图所示:还包含名为 spread_Cryptohijack 的函数,实现替换剪贴板中的数字货币 BTC 门牌号,但是也有复杂的逻辑判断后才运转该功能,笔者暂时没有找到启用该功能的条件。如下图所示:https://www.virustotal.com/gui/file/01055e217335489d11bfba457b0ced01a06afe2270e4eec442347
最后监听本地端口 1337,对应 port_check 的函数中的检测端口功能,表明地牢已经在运转中。如下图所示:参考链接c93794df578/community
样品门牌号
https://github.com/webraybtl/vulnerability0DAY
