В начале сентября 2023 года группировка APT29 совершила кибератаку на посольства нескольких стран: Азербайджан, Румыния, Италия и Греция. Для получения первоначального доступа была использована уязвимость RCE (удаленное выполнение кода) в WinRAR, получившая обозначение CVE-2023-38831. В статье рассмотрим технические детали, связанные с получением первоначального доступа, а также рассмотрим шаги для ручной эксплуатации уязвимости CVE-2023-38831.
Еще по теме: Как скрыть вирус в архиве ZIP и RAR
Эксплуатация уязвимости CVE-2023-38831
APT29 использовала фишинговую кампанию для распространения RAR-файла, который предоставлял начальный доступ. Фишинговая кампания была выстроена на базе продажи автомобиля BMW. В рамках кампании было отправлено более 200 электронных писем. Архив содержал PDF-файл с техническими характеристиками автомобиля, а также папку с тем же именем, что и PDF. При открытии PDF-файла с сервера автоматически загружался скрипт PowerShell, который выполнялся в фоновом режиме с помощью IEX.
Статья в образовательных целях, для обучения этичных хакеров. Несанкционированный взлом компьютеров является незаконным и рассматривается как уголовное преступление. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши действия.
Рассмотрим шаги, используемые для эксплуатации RCE в WinRAR.
Убедитесь, что вы используете WinRAR <=6.22. CVE-2023-38831 затрагивает версии WinRAR 6.23 и ниже.
Чтобы продемонстрировать уязвимость, создадим PDF-файл, который назовем bmw_m4.pdf. Поместим PDF в папку Document. Мы создали папку с тем же именем, что и PDF ( bmw_m4.pdf). В эту папку поместим CMD-файл под названием bmw_m4.pdf .cmd (обратите внимание, что перед .cmd стоит пробел). CMD-файл, который мы использовали, содержит только одну строку, а именно calc.exe, однако можно использовать любую другую полезную нагрузку.
На следующих скринах показаны шаги по созданию архива.
Шаг 1: Создайте папку с именем, заканчивающимся на .pdf, и добавьте ее в архив WinRAR.
Шаг 2: Добавьте в архив легитимный PDF-файл, обязательно присвоив ему то же имя, что и папке.
Шаг 3: Переименуйте папку и добавьте пробел в конце названия.
При попытке открыть PDF-файл вместо него будет выполнена полезная нагрузка CMD:
Когда пользователь дважды кликнет по файлу bmw_m4.pdf в окне WinRAR, программа выполняет команду bmw_m4.pdf /bmw_m4.pdf .cmd. Это происходит потому, что WinRAR определяет файлы, требующие временного расширения, путем итерации по всем записям архива. Если каталог совпадает с именем выбранной записи, то и выбранный файл, и файлы каталога извлекаются в корень случайного временного каталога.
Затем WinRAR вызывает ShellExecuteExW, указывая путь к временному каталогу. Пробел в конце пути заставляет ShellExecuteExW вызвать ApplyDefaultExts, выполняя первый файл с расширением PIF, COM, EXE, BAT, LNK или CMD. Такое поведение можно увидеть на следующем снимке экрана из ProcMon:
Итак, если мы хотим, чтобы PDF-файл действительно открывался при двойном клике (в то время как вредоносная полезная нагрузка работает в фоновом режиме), то можем поместить PDF в формате hex в файл temp.txt и модифицировать нашу полезную нагрузку CMD следующим образом:
1 2 3 4 5 |
certutil -f -decodegex temp.txt bmw_m4.pdf >null del temp.txt bmw_m4.pdf calc.exe del bmw_m4.pdf |
Заключение
Эта атака объединила как социальную инженерию, так и технические уязвимости (WinRAR RCE). Такие учреждения, как посольства, университеты, электростанции и многие другие, являются основными целями для кибершпионажа, особенно в периоды геополитической напряженности. Поэтому сотрудникам необходимо знать о потенциальных проблемах безопасности и проходить обучение по вопросам безопасности.
Кроме того, для ИТ-команд не менее важно следить за тем, чтобы все программное обеспечение было актуальным, а также регулярно проводить сканирование уязвимостей и тесты на проникновение.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Обход антивируса в Meterpreter
- Создание вируса-загрузчика Trojan.DownLoader
- Создание вируса для Windows с помощью Veil на Kali Linux