执行摘要
研究人员应该意识到威胁行为者会重新利用旧的概念验证 (PoC) 代码,为新发布的漏洞快速制作虚假的 PoC。2023 年 8 月 17 日,零日计划公开报告了 WinRAR 中的一个远程代码执行 (RCE) 漏洞,编号为CVE-2023-40477。他们已于 2023 年 6 月 8 日向供应商披露了该信息。在公开报告 CVE-2023-40477 四天后,一名攻击者使用别名halersplonk 向其 GitHub 存储库提交了一个虚假的 PoC 脚本。
旨在利用此 WinRAR 漏洞的虚假 PoC 基于公开可用的 PoC 脚本,该脚本利用了名为 GeoServer 的应用程序中的 SQL 注入漏洞,该漏洞被跟踪为CVE-2023-25157。我们分析了伪造的 PoC 脚本以及感染链中的所有链接,最终安装了 VenomRAT 有效负载。
我们认为威胁行为者创建这个假 PoC 脚本并不是专门针对研究人员的。相反,这些行为者很可能是投机取巧的,并希望损害其他试图在其行动中采用新漏洞的不法分子。
根据事件时间表,我们认为威胁行为者独立于虚假 PoC 创建了基础设施和有效负载。一旦漏洞被公开发布,攻击者就会迅速采取行动,利用流行应用程序中 RCE 的严重性。WinRAR 声称他们在全球拥有超过 5 亿用户。
假装直到成功
一位身份不明的攻击者使用化名halersplonk 发布了针对 WinRAR 中由 CVE-2023-40477 跟踪的 RCE 漏洞的虚假 PoC 脚本。这个 PoC 是假的,因为它没有利用预期的漏洞。相反,它基于针对 CVE-2023-25157 跟踪的 GeoServer 中的漏洞的公开可用 PoC 代码。PoC 脚本并没有像它声称的那样利用 WinRAR 漏洞,而是启动了一个感染链(经过几个步骤)将安装 VenomRAT 有效负载。
WinRAR 中的 CVE-2023-40477 漏洞允许攻击者在打开恶意文件的系统上执行代码。根据供应商2023 年 8 月 24 日的公告,零日计划最初于 2023 年 6 月 8 日报告了 CVE-2023-40477 漏洞,并于 2023 年 8 月 17 日公开报告。ZIP 存档中的时间戳表明:该攻击者于 2023 年 8 月 21 日(即公开宣布漏洞四天后)将文件提交到 GitHub。
根据图 1 中@AabyssZG发布的推文,这个伪造的 PoC 存档托管在一个名为 halersplonk 的用户的GitHub 存储库中。现在访问此存储库会导致 404 错误,因为该存储库已被删除。
图 1. 推文显示托管在鲸鱼 Splonk 拥有的 GitHub 存储库中的虚假 PoC 代码
伪造的 PoC 是一个 Python 脚本,已上传到 VirusTotal 的 ZIP 存档中,名为CVE-2023-40477-main.zip,具体来说是poc.py。下面的代码片段显示了7-Zip 中CVE-2023-40477-main.zip存档的内容。我们认为CVE-2023-40477-main.zip文件本身是通过单击 GitHub 中的“下载 ZIP”按钮下载整个存储库生成的。
Listing archive: CVE-2023-40477-main.zip
--
Path = CVE-2023-40477-main.zip
Type = zip
Physical Size = 2360
Comment = 82cb695f463b93b9cc089253cd6b5e32dce46c35
Date Time Attr Size Compressed Name
------------------- ----- ------------ ------------ ------------------------
2023-08-21 21:15:49 D.... 0 0 CVE-2023-40477-main
2023-08-21 21:15:49 ..... 752 442 CVE-2023-40477-main/README.md
2023-08-21 21:15:49 ..... 3656 1424 CVE-2023-40477-main/poc.py
------------------- ----- ------------ ------------ ------------------------
2023-08-21 21:15:49 4408 1866 2 files, 1 folders社会工程学
图 2 显示ZIP 存档中的README.md文件试图通过提供 CVE-2023-40477 漏洞的摘要和poc.py脚本的使用说明来进一步诱骗用户危害其系统。这些说明还包括指向Streamable[.]com上托管的视频的链接。该视频不再托管在README.md文件中的 URL 处,因为它已设置为 UTC 时间 2023 年 8 月 25 日上午 5:35:00 到期。
图 2. ZIP 存档中的README.md ,提供有关 CVE-2023-40477 漏洞的信息和使用说明
我们通过 Streamable 提供的元数据发现了有关视频的有趣信息。表 1 显示了 Streamable 托管视频的关键信息,包括视频上传日期,这与我们的时间线一致。播放次数表明该视频的个人观看次数超过 100 次。
表 1. 视频的元数据字段和值
我们还获得了与上传到 Streamable 的22.08.2023_00.17.56_REC.mp4相关的两张屏幕截图,这些屏幕截图被用作显示部分视频的缩略图。在用户单击视频上的播放按钮之前 Streamable 显示的第一张图像显示了威胁参与者的桌面及其任务管理器。
图 3 描绘了任务管理器,其中显示了一个名为Windows.Gaming.Preview的进程,该进程与本文后面讨论的 VenomRAT 有效负载具有相同的可执行文件名称。我们怀疑威胁行为者使用相同的系统来测试其有效负载并制作此演示视频。
图 3.视频播放前显示的22.08.2023_00.17.56_REC.mp4的第一个缩略图显示了在演员系统上运行的 VenomRAT 进程
图 4 中显示的第二个屏幕截图(我们认为 Streamable 截取了视频的中途)显示了演员,其中展示了 Burp Suite 的存档、密码 311138和PuTTY 客户端。我们认为攻击者假装展示如何制作恶意存档并使用脚本来利用 WinRAR 中的 CVE-2023-40477 漏洞。
更重要的是,屏幕截图还描绘了显示 8/21/2023 3:17 PM 的 Windows 时钟。我们可以在时间轴中使用此信息来确定它适合的位置,并根据其他活动推测演员所在的时区。
图 4. 22.08.2023_00.17.56_REC.mp4的第二个缩略图显示了 Burp Suite 存档
我们认为上面视频中看到的burpsuite_pro_v2023.2.2.zip存档是从 Telegram 帖子中获取的,如图 5 所示。我们没有分析 Telegram 帖子提供的 Burp Suite 应用程序来确定它是否是合法版本,因为可从PortSwigger 网站获取。
图 5. Telegram 帖子显示了演示视频中参与者使用的burpsuite_pro_v2023.2.2.zip存档
假概念证明
ZIP 存档中的假 PoC Python 脚本名为poc.py,它基于开源 CVE-2023-25157 PoC,并进行了一些更改,如图 6 所示。对 CVE-2023-25157 PoC 代码的更改包括下列的:
1. 删除有关 CVE-2023-25157 漏洞详细信息的评论
2. 删除表明这是与网络相关的漏洞的代码行,例如名为PROXY和PROXY_ENABLED的变量设置
3. 修改了来自geoserver的字符串以利用
4. 包含下载并执行批处理脚本的附加代码,并带有“检查依赖关系”注释
图 6. 左侧 CVE-2023-25157 PoC 与右侧假 CVE-2023-40477 PoC 之间的比较
由于删除了几行代码,poc.py脚本不再正确运行。但是,添加到脚本中的恶意代码在脚本因异常结束之前确实可以正常运行,如图 7 所示。
图 7. poc.py脚本由于异常而关闭,但在恶意代码运行之后
添加到 CVE-2023-25157 PoC 的代码如上面图 6 右侧的绿色代码行所示,在%TEMP%/bat.bat中创建了一个批处理脚本。该脚本将访问以下 URL 并运行响应:
http://checkblacklistwords[.]eu/check-u/robot?963421355?Ihead=true托管在上述 URL 上的批处理脚本运行一个编码的 PowerShell 脚本,该脚本将从checkblacklistwords[.]eu/c.txt下载另一个 PowerShell 脚本。然后,该脚本将此文件保存到%TEMP%c.ps1并运行它,如以下代码块所示:
下载的 PowerShell 脚本从checkblacklistwords[.]eu/words.txt下载可执行文件,并将其保存到%APPDATA%DriversWindows.Gaming.Preview.exe。PowerShell 脚本不仅运行可执行文件,还创建一个名为Windows.Gaming.Preview的计划任务,该任务每三分钟运行一次可执行文件,以持久运行有效负载。
Windows.Gaming.Preview.exe可执行文件是 VenomRAT 的变体,它与上面图 3 所示的README.md文件视频中显示的任务管理器中看到的运行进程同名。这表明威胁行为者在制作视频时可能已经在其系统上运行 VenomRAT 有效负载。
VenomRAT 的这个特定变体具有以下配置:
Por_ts = null
Hos_ts = null
Ver_sion = Venom RAT + HVNC + Stealer + Grabber v6.0.3
In_stall = false
MTX = fqziwqjwgwzscvfy
Paste_bin = http://checkblacklistwords[.]eu/list.txt
An_ti = false
Anti_Process = false
BS_OD = false
Group = Default
Hw_id = HEX(MD5( + + + + ))
Server_signa_ture = TtHk/GR7jC2p75o/t7g/BLsDYghocYu2[snip]
Server_certificate = MIICOTCCAaKgAwIBAgIVAPyfwFFMs6h[snip]配置字段Paste_bin的值为http://checkblacklistwords[.]eu/list.txt,可执行文件将与该字段通信以获取命令和控制 (C2) 位置。此 URL 表明 C2 位于以下 IP 地址:
94.156.253[.]109:4449这个特定的 VenomRAT 客户端启动键盘记录器功能,将击键记录到%APPDATA%MyDataDataLogs_keylog_offline.txt。然后,客户端开始与其 C2 服务器通信,并将处理服务器对表 2 中所示命令的响应。
表 2. VenomRAT 变体的命令及其描述
根据 VenomRAT 样本的可移植可执行文件 (PE) 标头,该可执行文件是于 2023 年 2 月 8 日 22:10:28 UTC 编译的。我们发现超过 700 个 VenomRAT 样本具有相同的编译时间。这表明这个特定的样本可能是使用标准 VenomRAT 构建器创建的,该构建器使用基本可执行文件并使用更新的配置设置对其进行修改。我们已在 GitHub 上提供SHA 和 IoC 的完整列表。
事件时间表
Unit 42 研究人员使用上面提到的时间戳以及我们内部产品中的时间戳构建了围绕此事件的事件时间表,如图 8 所示。这些时间戳是与以下内容专门关联的时间戳:
1. CVE-2023-40477漏洞的公开发布
2. 威胁行为者的活动,包括基础设施的设置和虚假 PoC 的部署
3. Palo Alto Networks 产品覆盖范围
图 8. 与 CVE-2023-40477 漏洞的伪造 PoC 相关的事件时间表
时间线显示,威胁行为者至少在 CVE-2023-40477 公开发布前 10 天创建了感染链中使用的checkblacklistwords[.]eu域。这是他们将假 PoC 代码提交到 GitHub 之前的 14 天。然而,对 URL hxxp://checkblacklistwords[.]eu/ 的HTTP 响应有一个Last-Modified字段,该字段设置为Sun, 16 Jul 2023 18:43:54 GMT,这表明攻击者最初可能已设置该服务器在漏洞公开发布前一个多月。
根据 Palo Alto Networks 产品报道,WildFire和高级 URL 过滤都处理并提供了以下恶意软件判定:
1. VenomRAT 有效负载
2. 检查blacklistwords[.]eu域
3. 感染链中看到的两个 URL
在攻击者发布假 PoC 的第二天,高级 URL 过滤会自动处理并为感染链中看到的剩余 URL 提供恶意判决。
根据这个时间线,我们认为威胁行为者已经与假 PoC 分开创建了基础设施和有效负载。该漏洞一经公开发布,攻击者就迅速创建了虚假 PoC,利用 WinRAR 等流行应用程序中 RCE 的严重性来引诱潜在受害者。
结论
漏洞公开后,未知威胁参与者试图通过发布虚假 PoC 来危害个人,以利用知名应用程序中的 RCE 漏洞。该 PoC 是假的,并且没有利用 WinRAR 漏洞,表明攻击者试图利用 WinRAR 中备受追捧的 RCE 来危害他人。伪造的 PoC 基于 GeoServer 中的一个漏洞的公开可用代码,该漏洞引发了安装 VenomRAT 的感染链。
虽然我们无法提供有关影响或妥协数量的准确数据,但我们发现攻击者提供的教学视频以及伪造的漏洞利用脚本有 121 次观看。
Palo Alto Networks 客户获得了来自该虚假 PoC 的保护,因为checkblacklistwords[.]eu域和 VenomRAT 样本在创建虚假漏洞利用脚本之前就已被恶意判定。
妥协指标
转载来源:https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/
图片来源网络侵权可联系删除
