黑客利用 Excel 文档来执行 ChainShot 恶意软件攻击

针对近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已经出现了一款名叫 CHAINSHOT 的恶意软件攻击。其利用微软 Excel 文件包含的微型 Shockwave Flash ActiveX 对象、以及一个所谓的“电影”的 URL 链接,忽悠人们去下载 Flash 应用程序。研究人员攻破了其采用的 512-bit RSA 密钥,从而揭开了它的神秘面纱。

恶意 Shockwave Flash ActiveX 对象属性

研究人员发现,该 Flash 应用程序其实是一个混淆的下载器:

进程会在内存中创建一个随机的 512-bit RSA 密钥对,将私钥保留在内存中、并将公钥发送到攻击者的服务器,以加密 AES 密钥(用于加密有效负载)。

之后将加密的有效负载和现有的私钥发送到下载程序,以解密128位AES密钥和有效负载。Palo Alto Networks Unit 42 的研究人员破解了加密,并分享了他们的破解方法。

尽管私钥仅保留在内存中,但公钥的模数 n 被发送到了攻击者的服务器。 在服务器端,模数与硬编码指数 e 0x10001 一起使用,以加密此前用于加密漏洞和 shellcode 有效载荷的128-bit AES 密钥。

揭秘 shellcode 有效载荷的 HTTP POST 请求(其模数 n 为十六进制)

一旦研究人员解密了 128-bit AES 密钥,就能够解密有效负载。

获得 RWE 权限之后,执行就会传递给 shellcode,然后在内部加载一个名为 FirstStageDropper.dll 的嵌入式 DLL 。

最后,研究人员分享了感染指征(Indicators of Compromise):

Adobe Flash Downloader 189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c Adobe Flash Exploit(CVE-2018-5002) 3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

添加收藏

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

揭秘:针对中国移动用户的强大网银木马剖析

我们最近遇到一个安卓平台的网银木马,该木马主要瞄向中国的移动用户,检出率很低。该安卓木马能够拦截短信并寻找特定的关键字,盗取用户网银信息。此外,它还会从用户的移...

20770
来自专栏企鹅号快讯

2018年互联网加密必备:SSL证书

告别过去的2017,展望2018。在新的一年里,“加密”一词将会在互联网中展开热烈的话题。 2018年是互联网加密的重要转折点,在过去的2017年中,全球各大主...

23470
来自专栏FreeBuf

漏洞科普:你对弱口令重视吗?

在当今很多地方以用户名和口令作为鉴权的世界,口令的重要性就可想而知了。口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财物、你的隐...

24750
来自专栏耕耘实录

存储基础:ATA、SATA、SCSI、SAS、FC

版权声明:本文为耕耘实录原创文章,各大自媒体平台同步更新。欢迎转载,转载请注明出处,谢谢

40250
来自专栏FreeBuf

首个Linux勒索软件马失前蹄:加密存在漏洞可被人攻破

在Windows里很早就有了ransomware(赎金勒索软件),直到Linux中的Linux.Encoder.1,也就是第一个linux勒索软件的出现。这款软...

40380
来自专栏企鹅号快讯

什么是多域名通配符SSL证书?

多域名通配符SSL – 安全多域名和子域名 多域名通配符SSL证书是结合通配符SSL和多域名SSL两者的组合特征而成。在多域名通配符SSL证书下,用户可以保护多...

64480
来自专栏女程序员的日常

SSD的传输总线、传输协议、传输接口

前言:关于SSD,有众多总线类型、协议类型、接口类型,每个接口还包括不同型号,在这里花点时间全部整理一下,整理日期2017-08-08。 1.传输总线 总线就像...

30810
来自专栏即时通讯技术

一文读懂Https的安全性原理、数字证书、单项认证、双项认证等

本文引用了作者Smily(博客:blog.csdn.net/qq_20521573)的文章内容,感谢无私分享。

58120

网络攻击解疑:密码学上的攻击

有不少密码学里的方案被用来加密在有线或者无线的通信协议上的传输数据。然而这些技术已被证实容易受到攻击,且加密的数据可能会被窃取。本文探讨了各种能保护网络基础设施...

49930
来自专栏安恒信息

国内iCloud服务器遭遇中间人攻击,中国苹果用户隐私不保

iCloud.com使用akamai提供的CDN服务,有多个IP,目前至少发现了三个IP。https://23.48.140.239和https://23.13...

399100

扫码关注云+社区

领取腾讯云代金券