黑客业务

       

刺客信条压缩包文件要小心！腾讯电脑管家提醒或蠕虫病毒

自从WinRAR被爆出unacev2.dll随机代码执行缺陷（CVE-2018-20250）由于缺陷具有非常简单易用的特点，深受病毒黑产品的青睐，各种恶意行使络绎不绝。            

   一、概述    

   

   自从WinRAR被爆出unacev2.dll随机代码执行缺陷（CVE-2018-20250）由于缺陷具有非常简单易用的特点，深受病毒黑产品的青睐，各种恶意行使络绎不绝。WinRAR unacev2.dll随机代码执行缺陷行使存在一个显著的缺陷，即受害者需要重启系统才能执行恶意代码。

   

   克日，腾讯平安御见威胁情报中心监控攻击者WinRAR缺陷行使手段升级，在一定程度上减少了对受害者自动重启系统的依赖，同时确保恶意木马能够在第一时间启动。

   

   常见的行使方式：    

   

   
   

   

       

   

   
   

   

   升级攻击手段后的行使方式:    

   

   （1）攻击行使模式1    

   

       

   

   
   

   

   （2）攻击行使模式2    

   

       

   

   
   

   

   二、剖析    

   

   攻击行使模式1：    

   

   WinRAR破绽行使连系恶意lnk逃避杀毒软件查杀，增加恶意木马执行的概率。样本信息及具体分析如下。    

                                           

   MD5    

                       

   文件名    

                                               

   3e86873fab89792c3f2302b4deb2377f_    

                       

   mirotvorec.rar    

                               

   打开mirotvorec.rar，如下所示    

   

       

   

   
   

   

   解压mirotvorec.rar，发现压缩包同时释放了两个lnk文件和一个exe文件    

   

   ?文件1：%userprofile%\win.exe(用户设置目录)    

   

   ?文件2：c:\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Goggle Chrome.lnk(开始菜单启动目录)    

   

   ?文件3：c:\desktop\Goggle Chrome.lnk(桌面快捷)    

   

       

   

   
   

   

   文件1恶意木马被释放到最终要执行的地方%userprofile%(用户目录)下；文件2和文件3内容完全相同，伪装成Chrome快速启动浏览器(攻击者拼写错误，把Google写成了Goggle），但该lnk实际指向的启动文件是%userprofile%\win.exe，即文件1。    

   

       

   

   
   

   

   需要注意的是，如果用户目录直接执行win.exe，在继续执行之前，还需要输入准确的密码。密码是上图中的快捷方式win.exe执行参数。如果双击goggle chrome.lnk，自动执行密码参数，下图提交密码的对话框不会泛起。

   

       

   

   
   

   

   这次攻击和以前的行使WinRAR缺陷攻击方法存在以下差异：    

   

   1）为了避免软杀，最终执行的恶意木马没有发布到系统自启动目录，而是发布到用户目录；同时，为了确保恶意木马在重启后顺利执行，伪装成Chrome恶意的浏览器快速启动模式lnk释放到系统自启动目录中lnk实际上是恶意木马的快速启动模式；    

   

   2）同时填补恶意木马被执行的概率WinRAR缺陷需要重启，攻击者会恶意lnk释放到桌面上，诱导受害者手动点击操作；    

   

   3）恶意木马需要输入准确的密码才能，需要输入准确的密码(避免了杀毒厂家自动分析工具发现异常)；    

   

   4）用户重启系统或双击恶意操作lnk，恶意木马可以执行。    

   

       

   

   攻击行使模式2：    

   

   恶意bat下载并解压文件ACE同时强制系统重启文件，确保恶意木马执行。攻击样本及具体分析如下。    

腾讯安全发现了年度最大的病毒团伙

                                           

   MD5    

                       

   文件名    

                                               

   1e541b14b531bcac70e77a012b0f0f7f    

                       

   __Denuncia_Activa_CL.PDF.bat    

                               

   notepad 打开bat文件，文本内容是乱码，发现右脚提醒文件使用UCS-2 Little-endian编码    

   

       

   

   
   

   

   重新使用16打开编辑器bat文件可以看到真实的文件内容    

   

       

   

   
   

   

   执行bat首先，文件自然有一个随机数，用于重命名即将下载的恶意命名rar文件    

   

       

   

   
   

   

   设置下载目录、文件名等。powershell从硬编码下令url下载恶意rar文件    

   

       

   

   
   

   

   使用WinRAR解压，将恶意木马释放到系统启动项目录中，执行shutdown -r下令强制重启系统，确保恶意木马能在第一时间启动。    

               

   3、安全建议

   

   1、unacev2.dll缺陷不局限于WinRAR，包罗WinRAR各种压缩压缩工具都有风险。建议用户将所有这些软件升级到最新版本，并建议使用腾讯计算机管家的软件管理来完成软件升级。    

   

   2、直接删除WinRAR在安装目录下UNACEV2.DLL但是会造成文件ACE图案的压缩文件不能使用(不，影响很小，有ACE花样专利的商业公司已经倒闭十多年了，你可以摆脱它ACE压缩图案)。    

   

   3、不要随意轻信文件，打开源头，用途不明。    

   

       

   

   四、IOCs    

   

   IP    

   

   195.62.52.164    

   

       

   

   DOMAIN    

   

   lisingrout.ddns.net    

   

   www.poderjudicial.cl    

   

   www.triosalud.cl    

   

       

   

   MD5    

   

   3e86873fab89792c3f2302b4deb2377f    

   

   64c3556574daa5bc76a5cede8f8bfcd7    

   

   f2c78f8b3582eae0af8912b0293ca8a5    

   

   1e541b14b531bcac70e77a012b0f0f7f    

   

   aafb4d8ebf63b50d80daff778226f7bc    

   

   410b77d8f1cdc76c867b4a6a27ae55e5    

   

       

   

   URL    

   

   hxxps://www.triosalud.cl/wp/wp-content/uploads/2019/02/denuncias.rar    

   

   hxxps://www.triosalud.cl/wp/wp-content/uploads/2019/03/denuncias.rar    

   

   hxxps://www.triosalud.cl/wp/wp-content/uploads/2019/03/up.php    

   

   hxxp://www.poderjudicial.cl    

腾讯安全:年度最大的病毒团伙终于出现！峰值感染或近4000万