如何利用WinRAR漏洞針對中東地區的定向攻擊活動分析

背景

2019年3月17日，360威脅情報中心截獲了一例疑似“黃金鼠”apt組織（apt-c-27）利用winrar漏洞（cve-2018-20250[6]）針對中東地區的定向攻擊樣本。該惡意ace壓縮包內包含一個以恐怖襲擊事件為誘餌的office word文檔，誘使受害者解壓文件，當受害者在本地計算機上通過winrar解壓該文件后便會觸發漏洞，漏洞利用成功后將內置的后門程序（telegram desktop.exe）釋放到用戶計算機啟動項目錄中，當用戶重啟或登錄系統都會執行該遠控木馬，從而控制受害者計算機。

360威脅情報中心通過關聯分析后發現，該攻擊活動疑似與“黃金鼠”APT組織（APT-C-27）相關，并且經過進一步溯源與關聯，我們還發現了多個與該組織相關的Android平臺的惡意樣本，這類樣本主要偽裝成一些常用軟件向特定目標人群進行攻擊，結合惡意代碼中與攻擊者相關的文字內容，可以猜測攻擊者也比較熟悉阿拉伯語。

后門程序（TelegramDesktop.exe）在VirusTotal上的檢測情況

樣本分析

360威脅情報中心針對該利用WinRAR漏洞的樣本進行了分析，相關分析如下。

利用恐襲事件誘導解壓

這個Office Word文檔是惡意壓縮文件的一部分，其內容涉及一次恐怖襲擊事件。中東地區由于其政治、地理等特殊性，該地區遭受恐怖襲擊繁多，人民深受其害，所以該地區人民對于恐怖襲擊等事件敏感，致使受害者解壓文檔的可能性增加：

誘餌文檔翻譯內容

用戶如果解壓該惡意壓縮包，則會觸發WinRAR漏洞，從而釋放內置的后門程序到用戶啟動目錄中：

當用戶重新啟動計算機或登錄系統后將執行釋放的后門程序Telegram Desktop.exe。

Backdoor（Telegram Desktop.exe）

后門程序TelegramDesktop.exe會從PE資源中讀取數據并寫入到：%TEMP%Telegram Desktop.vbs，隨后執行該VBS腳本，并休眠17秒直到VBS腳本運行完成：

該VBS腳本的主要功能為通過Base64解碼內置的字符串，并將解碼后的字符串寫入到文件：%TEMP%Process.exe，最后執行Process.exe：

Process.exe執行后會在%TEMP%目錄下創建文件1717.txt，并寫入與最終執行的后門程序相關的數據，以供Telegram Desktop.exe后續使用：

隨后TelegramDesktop.exe便會讀取1717.txt文件的內容，并將其中的特殊字符替換：

之后再通過Base64解碼數據，并在內存中加載執行解碼后的數據：

最終在內存中加載執行的數據為njRAT后門程序，相關配置信息如下：

njRAT

內存加載執行的njRAT后門程序會首先創建互斥量，保證只有一個實例運行：

并判斷當前運行路徑是否為配置文件中設置的路徑，若不是則拷貝自身到該路徑啟動執行：

隨后關閉附件檢查器和防火墻：

并開啟鍵盤記錄線程，將鍵盤記錄的結果寫入注冊表：

開啟通信線程，與C&C地址建立通信并接受命令執行：

該njRAT遠控還具有遠程SHELL、插件下載執行、遠程桌面、文件管理等多個功能：

Android平臺樣本分析

360威脅情報中心通過VirusTotal還關聯到了“黃金鼠”（APT-C-27）APT組織最近使用的多個Android平臺的惡意樣本，其同樣使用了82.137.255.56作為C&C地址（82.137.255.56:1740）：

而近期關聯到的Android平臺后門樣本主要偽裝為Android系統更新、Office升級程序等常用軟件。以下是我們針對偽裝成Office升級程序的Android樣本進行的分析

該Android樣本啟動后，會誘導用戶激活設備管理器，接著隱藏圖標并在后臺運行：

誘導用戶完成安裝后，樣本會展示如下界面：

接著樣本將通過Android默認的SharedPreferences存儲接口來獲取上線的IP地址和端口，如果獲取不到，就解碼默認的硬編碼IP地址和端口上線：

相關IP地址的解碼算法：

最終解碼后的IP地址為：82.137.255.56，端口也是需要把硬編碼后的端口加上100來得到最終的端口1740：

一旦成功連接到C&C地址，會立即發送上線信息、接收控制指令并執行。該樣本能夠進行錄音、拍照、進行GPS定位，上傳聯系人/通話記錄/短信/文件，以及執行來自云端的命令等多種功能

Android后門樣本的相關指令及功能列表如下：

值得注意的是，在該樣本回傳的命令信息中包含了阿拉伯語的相關信息，因此我們推測攻擊者有較大可能熟悉使用阿拉伯語：

溯源與關聯

通過查詢本次捕獲的后門程序C&C地址（82.137.255.56：1921）可知，該IP地址自2017年起便多次被APT-C-27（黃金鼠）組織使用，該IP地址疑似為該組織的固有IP資產。在360網絡研究院的大數據關聯平臺上，可以查看與該IP地址相關聯的多個樣本信息

通過360威脅情報中心威脅分析平臺(ti.360.net)查詢該C&C地址，也被打上了APT-C-27相關的標簽：

并且從本次捕獲到的相關木馬樣本（Windows和Android平臺）的功能模塊、代碼邏輯、內置信息語言、目標人群、網絡資產等信息都和早前曝光的APT-C-27[2]使用的木馬樣本信息高度相似。因此，據360威脅情報中心所述，本次攔截的相關樣本同樣與“黃金鼠”APT組織（APT-C-27）有關聯。

正如我們的預測，利用WinRAR漏洞（CVE-2018-20250）傳播惡意程序的攻擊行為正處在爆發階段，360威脅情報中心此前觀察到多個利用此漏洞進行的APT攻擊活動，而本次截獲的疑似“黃金鼠”APT組織（APT-C-27）利用WinRAR漏洞的定向攻擊活動僅僅只是眾多利用該漏洞實施定向攻擊案例中的一例。因此360威脅情報中心再次提醒各用戶及時做好該漏洞防護措施。（見“緩解措施”一節）

緩解措施

1、? 軟件廠商已經發布了最新的WinRAR版本，360威脅情報中心建議用戶及時更新升級WinRAR（5.70 beta 1）到最新版本，下載地址如下：

32 位：http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 位：http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2、? 如暫時無法安裝補丁，可以直接刪除漏洞的DLL（UNACEV2.DLL），這樣不影響一般的使用，但是遇到ACE的文件會報錯。

目前，基于360威脅情報中心的威脅情報數據的全線產品，包括360威脅情報平臺（TIP）、天擎、天眼高級威脅檢測系統、360 NGSOC等，都已經支持對此類攻擊的精確檢測。