垃圾邮件利用WinRAR ACE漏洞安装后门程序

垃圾邮件利用WinRAR ACE漏洞安装后门程序

研究人员发现了一个垃圾邮件活动,其可能是首个利用近期新发现的WinRAR ACE漏洞在计算机上安装恶意软件的案例。

WinRAR ACE漏洞

WinRAR是Windows的试用文件归档程序实用程序,可以创建和查看RAR或ZIP文件格式的归档,并解压缩大量归档文件格式。据WinRAR网站称,全球超过5亿用户使WinRAR成为当今世界上最受欢迎的压缩工具。

上周,据以色列安全厂商Check Point Software Technologies研究人员Nadav Grossman披露,WinRAR压缩软件存在严重安全漏洞,并发文进行了概念验证。他在WinRAR UNACEV2.DLL库中发现了一个长达19年未修复的漏洞,该漏洞允许特制的ACE归档文件解压缩到Window Startup文件夹中。这允许恶意的可执行文件获得持久性并在用户下次登录Windows时自动启动。

由于WinRAR的开发人员不再能够访问易受攻击的UNACEV2.DLL库的源代码,因此无法修复漏洞,他们只能从最新版本的WinRAR 5.70 beta 1中移除了DLL和ACE格式支持。不幸的是,这对于拥有5亿用户的WinRAR来说并没有多大的帮助。

垃圾邮件攻击活动

就在昨天,有研究人员发现了一封分发RAR档案的电子邮件,该档案在解压时会以后门程序感染用户的计算机。

垃圾邮件利用WinRAR ACE漏洞安装后门程序

当下载样本并在修改编辑器中检查RAR存档文件时,可以看到攻击者利用该漏洞将文件解压缩到用户的Startup文件夹。

垃圾邮件利用WinRAR ACE漏洞安装后门程序

如果UAC正在运行,当尝试解压该存档文件时,由于缺少权限,它将无法将恶意软件解压到C:\ ProgramData文件夹中。这将导致WinRAR显示错误,指出“访问被拒绝”和“操作失败”,如下图所示:

垃圾邮件利用WinRAR ACE漏洞安装后门程序

另一方面,如果禁用UAC或以管理员权限运行WinRAR,则会将恶意软件安装到C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe中。

垃圾邮件利用WinRAR ACE漏洞安装后门程序

现在CMSTray.exe被解压到用户的Startup文件夹,在下次登录时,将启动可执行文件。启动后,它会将CMSTray.exe复制到%Temp%\wbssrv.ex并执行wbssrv.exe文件。

垃圾邮件利用WinRAR ACE漏洞安装后门程序

启动%Temp%\wbssrv.exe

启动后,恶意软件将连接到http://138.204.171.108/并下载各种文件,包括Cobalt Strike Beacon DLL。Cobalt Strike Beacon是一种渗透测试工具,网络犯罪分子常用它来远程访问受害者的计算机。

垃圾邮件利用WinRAR ACE漏洞安装后门程序

下载Cobalt Strike Beacon DLL

加载此DLL后,攻击者将能够远程访问计算机、执行命令并将恶意软件传播到同一网络上的其他计算机。

解决漏洞的建议

1.版本升级

WinRAR 5.70 Beta 1版本删除了UNACEV2.dll库,不支持解压.ACE文件。因此用户可更新WinRAR至此最新版本,以实现对此漏洞的防护。

32位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2.删除问题文件

不方便升级软件的用户也可通过删除WinRAR安装路径下的UNACEV2.DLL文件,实现对此漏洞的防护。

垃圾邮件利用WinRAR ACE漏洞安装后门程序

目前WinRAR发布了最新的测试版5.70 Beta 1,已经修复了这个问题。而官网目前的5.6版本目前尚未修复这个漏洞。因此如需要经常使用这款压缩软件,可以通过以上链接下载Beta版本。

总结

可以预期的是,无论是通过垃圾邮件还是其他方法,更多的恶意软件会尝试利用此WinRAR漏洞进行攻击,因此及时采取防御措施非常重要。于攻击者而言,借助漏洞可以进行权限提升并把恶意软件放进启动目录,这样系统启动时即可实现自动启动。待用户重启系统后恶意软件即被运行然后攻击者即可实现完全控制,对于用户来说这种攻击是不需要交互的。

该漏洞的存在可以视为一个攻击者能够自由出入的后门,攻击者可以根据自己的喜好和需求向目标设备添加各类型的恶意软件,造成的不良影响也可以预计:加密勒索、机密数据信息泄露、设备网络运营不畅、通信流量监控、窃取用户凭据等等,一切网络攻击可能都存在。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134594.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code