信息來源：FreeBuf

背景

2019年2月22日，360威脅情報(bào)中心截獲了首個(gè)利用WinRAR漏洞（CVE-2018-20250）傳播木馬程序的惡意ACE文件。并提醒用戶務(wù)必對此高危漏洞做好十足的防護(hù)措施。

正如我們的預(yù)測，在接下來的幾天內(nèi)，360威脅情報(bào)中心截獲了多個(gè)使用WinRAR漏洞傳播惡意程序的樣本，并且我們還觀察到了多個(gè)利用此漏洞進(jìn)行的APT攻擊活動(dòng)。可以明顯的看到，攻擊者針對該漏洞利用做了更精心的準(zhǔn)備，比如利用WinRAR壓縮包內(nèi)圖片列表不可預(yù)覽來誘導(dǎo)目標(biāo)極大概率解壓惡意文件、將惡意ACE文件加密后投遞、釋放“無文件”后門等。

事實(shí)證明，利用該漏洞傳播惡意程序的攻擊行為正處在爆發(fā)的初期階段，并且不排除在將來被攻擊者用于制作蠕蟲類的病毒造成更廣泛的威脅。360威脅情報(bào)中心再次提醒各用戶及時(shí)做好漏洞防護(hù)措施。（見“緩解措施”一節(jié)）

樣本分析

360威脅情報(bào)中心針對最具代表性的幾類樣本進(jìn)行了分析，相關(guān)分析如下。

利用圖片列表誘導(dǎo)解壓：

MD5	d7d30c2f26084c6cfe06bc21d7e813b1
文件名	10802201010葉舒華.rar

該惡意壓縮文件利用了WinRAR壓縮包內(nèi)圖片列表不可預(yù)覽的特性，誘導(dǎo)目標(biāo)大概率解壓文件從而觸發(fā)漏洞。當(dāng)受害者打開RAR壓縮包后可以看到很多圖片文件：

出于好奇，用戶一般會點(diǎn)擊打開其中的一張圖片查看：

如果受害者對圖片內(nèi)容很感興趣，但WinRAR又無法預(yù)覽所有圖片的情況下，則只好解壓該壓縮包，這樣漏洞則會被觸發(fā)，極大的提高了攻擊成功率，解壓后的誘餌圖片列表：

漏洞觸發(fā)后，會在%AppData%\Microsoft\Windows\StartMenu\Programs\Startup目錄釋放OfficeUpdateService.exe，當(dāng)用戶重啟計(jì)算機(jī)或者注銷登錄后將執(zhí)行惡意代碼：

Backdoor（OfficeUpdateService.exe）

OfficeUpdateService.exe是使用C#編寫的遠(yuǎn)控程序，其通信地址為conloap.linkin.tw:8080。其提供的功能大致有計(jì)算機(jī)管理（重啟/關(guān)閉）、文件管理（上傳/下載/遍歷）、遠(yuǎn)程SHELL、木馬管理（安裝/卸載）、屏幕抓取、錄音等功能。

C&C地址為：conloap.linkin.tw:8080

多個(gè)類似樣本

此外，我們還捕獲到數(shù)個(gè)國外類似利用社會工程學(xué)和該漏洞結(jié)合的攻擊樣本。

MD5	f8c9c16e0a639ce3b548d9a44a67c8c1
文件名	111.rar

解壓后的誘餌圖片列表：

MD5	f9564c181505e3031655d21c77c924d7
文件名	test.rar

解壓后的誘餌圖片列表：

目標(biāo)阿拉伯地區(qū)：釋放“無文件”后門

MD5	e26ae92a36e08cbaf1ce7d7e1f3d973e
文件名	JobDetail.rar

該樣本包含了一份工作地點(diǎn)位于沙特阿拉伯的招聘廣告PDF文檔（誘餌），如果用戶使用WinRAR解壓該文件并觸發(fā)漏洞后，WinRAR會釋放惡意腳本W(wǎng)ipolicy.vbe到用戶開機(jī)啟動(dòng)目錄，最終的惡意代碼為PowerShell編寫的遠(yuǎn)程控制程序，整個(gè)執(zhí)行過程全部在內(nèi)存中實(shí)現(xiàn)，其通信地址為：hxxps://manage-shope.com:443。

該樣本包含一份工作招聘廣告，如下圖所示：

招聘廣告中工作地點(diǎn)位于沙特阿拉伯：

漏洞觸發(fā)后會在%AppData%\Microsoft\Windows\StartMenu\Programs\Startup目錄釋放Wipolicy.vbe：

Wipolicy.vbe分析

該樣本為加密的VBS腳本，解密后的部分腳本如下圖所示：

該VBS腳本將執(zhí)行一段PowerShell腳本，PowerShell腳本解密后如下圖：

該段PowerShell會下載hxxp://local-update.com/banana.png并利用圖片隱寫術(shù)解密出第二段PowerShell腳本，腳本部分內(nèi)容如下圖：

第二段PowerShell腳本將從hxxps://manage-shope.com:443下載第三段數(shù)據(jù)并利用AES解密為第三段PowerShell腳本，以下是第三段PowerShell部分腳本：

該P(yáng)owerShell腳本包含了完整的遠(yuǎn)程控制代碼，提供的功能有啟動(dòng)多個(gè)CMD、上傳文件、下載文件、加載執(zhí)行模塊、執(zhí)行其他PowerShell腳本等功能，其通信地址為：hxxps://manage-shope.com:443

加密的ACE文件

MD5	65e6831bf0f3af34e19f25dfaef49823
文件名	Сбор информации для переезда в IQ-квартал.rar

另外，我們還捕獲到了一個(gè)加密的惡意ACE文件，由于惡意文件使用密碼加密，故我們暫時(shí)無法得知最終釋放的惡意代碼內(nèi)容。不過可以發(fā)現(xiàn)，攻擊者也在嘗試將惡意ACE文件進(jìn)行加密來防止受害者以外的人員獲取其中的惡意代碼，具有較高的針對性和自我保護(hù)意識。

360威脅情報(bào)中心針對ACE文件的加解密過程進(jìn)行了分析，過程如下：

首先，該惡意ACE樣本進(jìn)行了加密，但是解壓時(shí)輸入錯(cuò)誤密碼，仍然可以看到會解壓到對應(yīng)的啟動(dòng)目錄下：

但該樣本實(shí)際上并沒有解壓成功：

于是我們分析了WinRAR在處理帶密碼的ACE數(shù)據(jù)的處理過程，WinRAR中UNACEV2.dll的加載入口如下：

對應(yīng)的函數(shù)如下，專門用于處理ACE的壓縮包文件：

86行的函數(shù)對應(yīng)解壓到當(dāng)前目錄的操作：

進(jìn)入函數(shù)sub_1395F10，該函數(shù)第74行對應(yīng)了漏洞的入口點(diǎn)，運(yùn)行之后對應(yīng)的目標(biāo)的釋放文件將被創(chuàng)建：

之后進(jìn)入解壓邏輯，UNACEV2包含了自身的解壓邏輯，因此和WinRAR無關(guān)，整個(gè)解壓寫入文件過程如下：

1.首先通過函數(shù)fun_Allocmemory分配一段用于存放解壓數(shù)據(jù)的內(nèi)存，其大小和解壓數(shù)據(jù)一致；

2.再通過函數(shù)fun_GetEncryptkey獲取用戶輸入的密鑰；

3.然后通過函數(shù)fun_DecryptCompress解壓對應(yīng)的數(shù)據(jù)到第一步分配的內(nèi)存中；

4.最后通過函數(shù)fun_EctraceoFile將內(nèi)存中的數(shù)據(jù)寫入到之前的文件中。

這樣就導(dǎo)致即使輸入了錯(cuò)誤的密碼依然會將第一份分配的初始化內(nèi)存寫入到啟動(dòng)目錄下：

我們創(chuàng)建了一個(gè)測試ACE文件，如下所示分配的內(nèi)存地址為0x0b4a0024：

獲取壓縮包的密鑰A1B2C3D4E5：

如下所示解壓出的對應(yīng)內(nèi)容：

當(dāng)輸入錯(cuò)誤的密碼時(shí)，依然會寫入數(shù)據(jù)，寫入的數(shù)據(jù)為亂碼：

總結(jié)

截止文章完成時(shí)，360威脅情報(bào)中心還陸續(xù)觀察到了多個(gè)利用此漏洞進(jìn)行的APT攻擊活動(dòng)。

事實(shí)證明，利用WinRAR漏洞（CVE-2018-20250）傳播惡意程序的攻擊行為正處在爆發(fā)的初期階段，并且不排除在將來被攻擊者用于制作蠕蟲類的病毒造成更廣泛的威脅。360威脅情報(bào)中心再次提醒各用戶及時(shí)做好漏洞防護(hù)措施。

緩解措施

1.軟件廠商已經(jīng)發(fā)布了最新的WinRAR版本，360威脅情報(bào)中心建議用戶及時(shí)更新升級WinRAR（5.70 beta 1）到最新版本，下載地址如下：

32位：http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64位：http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2.如暫時(shí)無法安裝補(bǔ)丁，可以直接刪除漏洞的DLL（UNACEV2.DLL），這樣不影響一般的使用，但是遇到ACE的文件會報(bào)錯(cuò)。

目前，基于360威脅情報(bào)中心的威脅情報(bào)數(shù)據(jù)的全線產(chǎn)品，包括360威脅情報(bào)平臺（TIP）、天擎、天眼高級威脅檢測系統(tǒng)、360 NGSOC等，都已經(jīng)支持對此類攻擊的精確檢測。

IOC

惡意ACE文件MD5
d7d30c2f26084c6cfe06bc21d7e813b1
f9564c181505e3031655d21c77c924d7
65e6831bf0f3af34e19f25dfaef49823
9cfb87f063ab3ea5c4f3934a23e1d6f9
f8c9c16e0a639ce3b548d9a44a67c8c1
e26ae92a36e08cbaf1ce7d7e1f3d973e
木馬MD5
782791b7ac3daf9ab9761402f16fd407
惡意腳本MD5
ad121c941fb3f4773701323a146fb2cd
C&C
manage-shope.com:443

參考鏈接

[1].https://mp.weixin.qq.com/s/Hz-uN9VEejYN6IHFBtUSRQ（首個(gè)完整利用WinRAR漏洞傳播的惡意樣本分析）

[2].https://research.checkpoint.com/extracting-code-execution-from-winrar/

[3].https://twitter.com/360TIC/status/1099987939818299392

[4].https://ti.360.net/advisory/articles/360ti-sv-2019-0009-winrar-rce/