首页 > 安全资讯 > 正文

CVE-2018-8373挂马传播远控&窃密者

日前360互联网安全中心监控到有攻击者利用CVE-2018-8373漏洞实施挂马攻击来传播远控木马和密码窃取者木马。这是一个在今年新出现的高危IE浏览器脚本引擎远程代码执行漏洞,该漏洞会影响IE9、IE10和IE11三个版的IE浏览器。

CVE-2018-8373也是今年以来被发现的影响Windows VBScript Engine的第三个漏洞,其中前两个均为360公司的安全研究人员首次发现,这三个漏洞均影响IE浏览器,且可以通过微软Office文档进行攻击,三个"双杀"漏洞发现的时间线如下:


挂马分析

从挂马POC来看发现此漏洞利用使用了与CVE-2018-8174相同的混淆技术,CVE-2018-8174是5月份修补的VBScript引擎远程执行代码漏洞。

EKFiddle显示利用CVE-2018-8373执行Payload(Powershell)的漏洞情形

挂马执行时进程链截图

利用挂马下执行的PowerShell脚本首先会下载一个Downloader程序"S1.exe"到本地并保存成名为atum21.exe的程序来执行。atum21.exe执行后会关闭Windows系统防火墙、下载并执行密码盗取程序,如果检测到没有杀软则会额外下载并执行QuasarRAT远程控制程序。

判断杀软并下载执行v1.exe(窃密) 和v2.exe(远控)的代码片段

窃密者木马

v1.exe(窃密)木马:经分析该文件为python编写,完成后再使用Pyinstaller将其打包成可执行程序进行传播。通过对其反编译可以拿到py源码,其主要功能为提取Chrome、Firefox、IE三款浏览器中自动保存的用户密码及Cookies。

针对Chrome和Firefox浏览器,木马首先会连接浏览器保存自动登录密码信息的Sqlite数据库,然后获取其中存储的用户名、密码信息然,最后Post到指定服务器地址(hxxp://0x0x[.]co/ver.php)。

执行获取Chrome、Firexfox、IE浏览器密码信息并发送服务器部分代码

Chrome浏览器获取用户名密码代码片段

Firefox浏览器获取解密用户名密码部分代码片段

对于IE浏览器,则尝试获取浏览器中:Facebook、Gmail、Google、Paypal、Baidu、Twitter、Reddit、netflix、Instagram网站保存的用户名、密码及Cookies数据。

获取IE浏览器百度等网站保存的用户名密码

提取出用户名、密码、Cookies等数据使用Zlib压缩并转换成Base64后Post到与上文中相同的服务器中(hxxp://0x0x[.]co/ver.php)。

Post发送用户密码及Cookies

被攻击者发送到服务器上的隐私数据(解码后)

QuasarRAT远控

v2.exe为QuasarRAT远程控制程序的受控端。该远控是由开源代码修改而来,远控连接的主机地址在程序代码中中使用了AES 加salt进行加密,解密后可知该主机域名为:r3m0te.65cdn[.]com

QuasarRAT远控配置代码片段

远控连接数据抓包

QuasarRAT远控程序主要功能及特性如下:

1. TCP网络(IPv4和IPv6支持)

2. NetSerializer

3. 压缩(QuickLZ)和加密(AES-128)通信

4. 多线程

5. UPnP支持

6. No-Ip.com支持

7. 访问网站(隐藏和可见)

8. 显示消息框

9. 任务管理器

10. 文件管理器

11. 启动管理器

12. 远程桌面

13. 远程Shell

14. 下载并执行程序

15. 上传并执行程序

16. 系统信息查看

17. 打开摄像头

18. 计算机重启、关机、待机

19. 键盘记录(Unicode支持)

20. 反向代理(SOCKS5)

21. 密码提取(常见浏览器和FTP客户端)

22. 注册表编辑器

QuasarRAT远控指令部分函数

结语

鉴于此漏洞为高危漏洞且已有在野攻击利用,做为第一道防线——建议用户安装最新的安全补丁以防止漏洞利用。微软已经在8月份的漏洞修复中修复了CVE-2018-8373漏洞。

建议用户使用360安全卫士安装此漏洞补丁以防御此挂马攻击。同时,360安全卫士也有自己的漏洞防御体系,可对各种未知漏洞提供全方位的保护功能。一旦发现电脑存在任何异常,请在电脑上复制并访问以下链接下载360安全卫士进行查杀。

安全卫士下载地址:http://dl.360safe.com/inst.exe


360安全卫士

热点排行

用户
反馈
返回
顶部