CVE-2018-8373也是今年以来被创造的影响Windows VBScript Engine的第三个漏洞,个中前两个均为360公司的安全研究职员首次创造,这三个漏洞均影响IE浏览器,且可以通过微软Office文档进行攻击,三个\"大众双杀\"大众漏洞创造的韶光线如下:
挂马剖析
从挂马POC来看创造此漏洞利用利用了与CVE-2018-8174相同的稠浊技能,CVE-2018-8174是5月份修补的VBScript引擎远程实行代码漏洞。
EKFiddle显示利用CVE-2018-8373实行Payload(Powershell)的漏洞环境
挂马实行时进程链截图
利用挂马下实行的PowerShell脚本首先会下载一个Downloader程序\公众S1.exe\"大众到本地并保存成名为atum21.exe的程序来实行。atum21.exe实行后会关闭Windows系统防火墙、下载并实行密码盗取程序,如果检测到没有杀软则会额外下载并实行QuasarRAT远程掌握程序。
判断杀软并下载实行v1.exe(窃密) 和v2.exe(远控)的代码片段
窃密者木马
v1.exe(窃密)木马:经剖析该文件为python编写,完成后再利用Pyinstaller将其打包成可实行程序进行传播。通过对其反编译可以拿到py源码,其紧张功能为提取Chrome、Firefox、IE三款浏览器中自动保存的用户密码及Cookies。
针对Chrome和Firefox浏览器,木马首先会连接浏览器保存自动登录密码信息的Sqlite数据库,然后获取个中存储的用户名、密码信息然,末了Post到指定做事器地址(hxxp://0x0x[.]co/ver.php)。
实行获取Chrome、Firexfox、IE浏览器密码信息并发送做事器部分代码
Chrome浏览器获取用户名密码代码片段
Firefox浏览器获取解密用户名密码部分代码片段
对付IE浏览器,则考试测验获取浏览器中:Facebook、Gmail、Google、Paypal、Baidu、Twitter、Reddit、netflix、Instagram网站保存的用户名、密码及Cookies数据。
获取IE浏览器百度等网站保存的用户名密码
提取出用户名、密码、Cookies等数据利用Zlib压缩并转换成Base64后Post到与上文中相同的做事器中(hxxp://0x0x[.]co/ver.php)。
Post发送用户密码及Cookies
被攻击者发送到做事器上的隐私数据(解码后)
QuasarRAT远控
v2.exe为QuasarRAT远程掌握程序的受控端。该远控是由开源代码修正而来,远控连接的主机地址在程序代码中中利用了AES 加salt进行加密,解密后可知该主机域名为:r3m0te.65cdn[.]com
QuasarRAT远控配置代码片段
远控连接数据抓包
QuasarRAT远控程序紧张功能及特性如下:
1. TCP网络(IPv4和IPv6支持)
2. NetSerializer
3. 压缩(QuickLZ)和加密(AES-128)通信
4. 多线程
5. UPnP支持
6. No-Ip.com支持
7. 访问网站(隐蔽和可见)
8. 显示框
9. 任务管理器
10. 文件管理器
11. 启动管理器
12. 远程桌面
13. 远程Shell
14. 下载并实行程序
15. 上传并实行程序
16. 系统信息查看
17. 打开摄像头
18. 打算机重启、关机、待机
19. 键盘记录(Unicode支持)
20. 反向代理(SOCKS5)
21. 密码提取(常见浏览器和FTP客户端)
22. 注册表编辑器
QuasarRAT远控指令部分函数
结语
鉴于此漏洞为高危漏洞且已有在野攻击利用,做为第一道防线——建议用户安装最新的安全补丁以防止漏洞利用。微软已经在8月份的漏洞修复中修复了CVE-2018-8373漏洞。
建议用户利用360安全卫士安装此漏洞补丁以防御此挂马攻击。同时,360安全卫士也有自己的漏洞防御体系,可对各种未知漏洞供应全方位的保护功能。
