太阳集团2138备用网址

  • 防弹少年团金泰亨蓝发登各国热搜 玩儿转红粉金黑棕各种发色实力演绎“有颜任性”【组图】 2019-04-25
  • 龙烨为袁竹逍遥画派配画诗欣赏之三 2019-04-25
  • 因应增值税下调 多个豪车品牌在华降价 2019-04-25
  • “小屏论”话两会:“习语”暖人心 2019-04-25
  • 低价 贴心 保障 国美3.15,为消费者保驾护航低价贴心保障 国美315,为消费者保驾护航-国美 2019-04-25
  • 中央政治局同志向党中央和习近平总书记述职 2019-04-25
  • China Daily Website 2019-04-25
  • 【守护好我们的美丽家园】新疆的明天一定会更好 2019-04-25
  • 22年后紫霞仙子归来 可至尊宝已经不是他了 2019-04-25
  • 【独家V观】你好 意大利 2019-04-25
  • 合肥一文化公司人去楼空老板跑路 老人购买保健品被骗上万元 2019-04-25
  • 北京二手房交易实现一网通办 20分钟就办完 ——凤凰网房产北京 2019-04-25
  • NBA史上最牛的9大名帅 波波在这里只能排倒三 2019-04-25
  • 《阿丽塔》要和《流浪地球》抢票房 2019-04-24
  • 百城住宅均价环比涨幅持续收窄 变化大多在1%内 2019-04-24
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    该来的始终要来——WinRAR ACE漏洞被用来安装后门

    来源:本站整理 作者:佚名 时间:2019-02-27 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 研究人员近日发现一起传播恶意RAR的垃圾邮件活动,其中恶意的RAR文件就利用了新发现的WinRAR ACE漏洞来安装恶意软件。

    上周,Checkpoint在博客中介绍了WinRAR UNACEV2.DLL库中潜藏了19年的漏洞,允许伪造的ACE文件在提取文件时可以提取到Windows开始菜单中。这样恶意可执行文件就获得了驻留,当用户再次登陆到Windows中后会自动启动。
    为了修复该漏洞,WinRAR开发者直接移除了UNACEV2.DLL和ACE文件类型支持。但有超过5亿用户已经安装了WinRAR,恶意软件也会利用这些已经安装而未升级的版本进行发起攻击。
    360威胁情报中心发推文称发现了一个分发恶意RAR文件的邮件,该文件提取后会释放一个后门文件感染计算机。
    这是第一个通过利用WinRAR漏洞通过邮件传播的在野恶意软件。经过分析,该后门是MSF生成的,当UAC关闭时,后门会写入开始菜单文件夹中。样本参见https://www.virustotal.com/#/file/7871204f2832681c8ead96c9d509cd5874ed38bcfc6629cbc45472b9f388e09c/detection。

    BleepingComputer研究人员下载样本并在十六进制编辑器中打开RAR文件可以看到漏洞利用计划提取文件到用户的开始菜单。

    如果UAC在运行时尝试提取文件,因为缺乏权限无法将恶意软件释放到C:\ProgramData文件夹中。最终导致WinRAR显示访问被拒绝或者操作失败的错误信息,如图所示。

    如果UAC被禁用或WinRAR以管理员权限运行,就会成功将恶意软件安装到C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe。

    然后CMSTray.exe就被提取到用户的开始菜单文件夹中了,当用户下一次登陆时,该可执行文件就会启动。启动后,会复制CMSTray.exe到%Temp%\wbssrv.exe,并执行wbssrv.exe文件。

    启动%Temp%\wbssrv.exe
    启动后,恶意软件会连接到http://138.204.171.108/来下载不同的文件,包括Cobalt Strike Beacon DLL。Cobalt Strike Beacon是一个渗透测试工具,常被犯罪分子用来获取受害者计算机的远程访问权限。

    下载Cobalt Strike Beacon DLL
    DLL文件加载后,攻击者就可以远程访问计算机,执行命令并在计算机所在网络中传播到其他计算机。
    研究人员猜测未来会有更多尝试利用该漏洞的恶意软件和攻击活动出现,有可能会通过垃圾邮件也有可能是通过其他方法,需要注意的是一定要尽快升级到WinRAR的最新版本。如果无法升级,那么可以使用 0Patch的WinRAR micropatch补丁来解决该bug。
     

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。