링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

Winrar 취약점 탐색(CVE-2023-38831) | 맥아피 블로그

작성자: 닐 티아기

2023년 8월 23일 NIST는 심각한 RCE 취약점 CVE-2023-38831을 공개했습니다. 이는 WinRAR 6.23 이전 버전의 RCE 취약점과 관련이 있습니다. 이 문제는 ZIP 아카이브에 무해한 파일(예: 일반 .JPG 파일)과 무해한 파일과 동일한 이름을 가진 폴더가 포함될 수 있고 폴더의 콘텐츠(실행 가능한 콘텐츠 포함)가 처리되기 때문에 발생합니다. 양성 파일에만 액세스하려고 시도하는 동안.

우리 정보에 따르면 이 취약점은 이르면 2023년 4월에 악용되고 있는 것으로 나타났습니다. 이 취약점을 악용하는 샘플을 살펴보겠습니다(해시: bc15b0264244339c002f83e639c328367efb1d7de1b3b7c483a2e2558b115eaa).

  • 아래 이미지는 아카이브 이름이 Trading_system으로 지정되어 거래자를 대상으로 하는 데 사용됨을 암시합니다.

  • 또한 위협 행위자가 폴더와 파일 이름이 동일하도록 아카이브를 조작할 수 있다는 것도 확인할 수 있습니다.
  • Windows에서는 파일과 폴더가 동일한 경로에서 동일한 이름을 갖는 것을 허용하지 않기 때문에 이는 흥미롭습니다.
  • 이는 파일명과 폴더명을 동일하게 만들기 위해 바이트를 변경하여 일반 zip을 생성한 후 무기화되었음을 나타냅니다.
  • 또한 파일 및 폴더 이름 끝에는 뒤에 공백이 있습니다(노란색).
  • 폴더 안을 들여다보면 많은 파일들이 보이지만 가장 중요한 파일이 강조되어 있는데, 바로 악성 스크립트가 포함된 bat 파일입니다.
  • Bat 파일도 폴더 외부의 양성 파일과 이름이 동일합니다.

  • 스크립트를 확인하면 최소화된 상태에서 cmd가 실행되고 WinRAR이 파일을 추출할 임시 폴더로 이동한 다음 폴더 안에 있는 Weakicons.com 파일을 찾으려고 시도하고 wmic를 사용하여 실행하는 것을 볼 수 있습니다. 그런 다음 종료됩니다.
  • Weakicons.com을 확인해보면 CAB SFX 파일이라는 것을 알 수 있습니다.
  • 내부 내용을 확인하기 위해 추출합니다.
  • PE 파일, 일부 ActiveX 컨트롤 개체 및 두 개의 텍스트 파일을 찾았습니다.
  • AMD.exe는 pc.txt 내부의 데이터 덩어리에 숨겨진 dll을 추출하고 ActiveX 컨트롤을 실행하는 것이 주요 작업인 Visual Basic 컴파일 파일입니다.
  • add.txt 내에서 조작을 시도할 레지스트리 키를 찾습니다.
  • 첫 번째 컨트롤은 Windows에 COM 개체를 등록하는 역할을 합니다. 등록하는 동안 “add.txt” 파일에서 레지스트리 키를 가져옵니다. 결과적으로 고유한 CLSID를 가진 특정 COM 개체가 감염된 시스템에 등록됩니다. InprocServer32 키의 기본값은 “Core.ocx”라는 악성 DLL의 경로로 채워집니다.
  • Wmic 프로세스가 Weakicons.com을 실행합니다.

  • AMD.exe는 pc.txt 내의 암호화된 dll 파일을 추출하여 romaing\nvidia 폴더에 씁니다.

  • 여기서는 AMD.exe가 add.txt 내부의 레지스트리 키에 대해 reg.exe를 호출하는 것을 관찰합니다.
  • 타임아웃은 감염 체인의 활동을 늦추기 위해 호출되기도 합니다.
  • AMD.exe는 레지스트리에 등록된 clsid에서 rundll32를 호출합니다.

  • 위협 행위자 C2에 대한 성공적인 TCP 연결을 볼 수 있습니다.(ip 37[.]120[.]158[.]229)

이 취약점이 실제로 발견되는 글로벌 히트맵(McAfee 원격 측정 데이터 기반)

감염 사슬

취약점은 어떻게 작동하나요?

  • 여기서는 WinRAR이 이미지를 열지 않고 스크립트를 실행하는 문제를 분석해 보겠습니다.
  • 무기화된 zip과 일반 zip에서 이미지 파일을 실행할 때 WinRAR이 어떻게 작동하는지 비교해 보겠습니다. 그래서 우리는 ProcMon First를 실행합니다.

일반.zip

무기화.zip

  • 위 이미지는 첫 번째 논리적 버그가 WinRAR이 파일을 실행하기 전에 임시 폴더에서 파일을 추출하는 방법임을 보여줍니다. 일반 zip의 경우 클린 이미지 파일만 임시 폴더에 추출되는 반면, 무기화된 zip의 경우 폴더 안에 존재하는 파일까지 클린 이미지 파일과 함께 임시 폴더에 추출됩니다. 이는 우리가 제공한 파일 이름과 동일하기 때문에 WinRAR이 임시에서 해당 파일을 추출하게 만듭니다.
  • 임시 폴더에서 동일하게 확인

일반 우편번호

무기화된 우편번호

  • 로그에서 자세히 살펴보면 Winrar가 *를 사용하여 파일 이름을 검색하는 것을 볼 수 있습니다. 이로 인해 동일한 이름을 가진 bat 파일을 반복하여 실행됩니다.

  • 내부적으로 무슨 일이 일어나고 있는지 확인하기 위해 디버거를 연결하고 “이미지 파일 실행 옵션” 레지스트리 키를 조작하여 WinRAR을 시작했습니다.
  • rar 파일을 실행하면 적시 디버깅을 수행할 수 있도록 디버거가 winrar 프로세스에 연결되는 것을 볼 수 있습니다.
  • jpeg 파일을 클릭한 직후에 어떤 매개변수가 전달되는지 확인하기 위해 ShellExecuteExW 함수에 중단점을 설정했습니다.
  • 이미지 파일을 두 번 클릭하면 디버거가 열리는 것을 볼 수 있으며 몇 번의 클릭 후에 중단점에 도달합니다.

일반 zip

  • 이 경우 파일이 정확한 경로에 존재하므로 올바른 매개 변수가 ShellExecuteExW 함수에 전달됩니다.

무기화된 우편번호

  • 이 경우 매개 변수에 후행 공백이 포함되어 있고 해당 파일이 디스크에 없기 때문에 잘못된 매개 변수가 ShellExecuteExW 함수에 전달됩니다.
  • 자세히 살펴보면 나중에 MSDN에 따라 PathUnquoteSpacesA API 호출을 호출한다는 것을 알 수 있습니다. 그것 “경로의 시작과 끝에서 따옴표를 제거합니다.
  • 경로 끝에서 따옴표가 제거되면 ShellExecuteExW는 “simple_image.jpg” 대신 “simple_image.jpg .cmd”를 실행합니다.

IOC의

샤256 발각
bc15b0264244339c002f83e639c328367efb1d7de1b3b7c483a2e2558b115eaa 트로이 목마:Archive/2023_38831.NEAA
  • .( IP 37[.]120[.]158[.]229)
  • REG 키

%APPDATA%\Nvidia\Core.ocx

권장 사항

  • WinRAR 사용자는 즉시 최신 버전으로 업데이트해야 합니다. RAR 및 ZIP 파일을 처리하는 강력한 도구인 WinRAR 아카이버(rarlab.com)
  • 보호를 유지하려면 라이선스가 부여되고 업데이트된 McAfee+ 구독을 사용하십시오.
  • 사이버 범죄자가 사용하는 일반적인 사이버 위협과 전술에 대해 최신 정보를 얻으세요. 이러한 지식은 잠재적인 위험을 인식하고 사기를 피하는 데 도움이 될 수 있습니다.
  • 출처를 알 수 없는 첨부파일을 다룰 때는 매우 주의하시기 바랍니다. 신뢰할 수 있는 출처에서 온 첨부 파일만 실행하세요.
  • 다단계 인증을 사용하여 계정을 보호하세요.
Winrar 취약점 탐색(CVE-2023-38831) | 맥아피 블로그

McAfee+ 소개

디지털 라이프를 위한 신원 도용 방지 및 개인 정보 보호

Leave A Reply

Your email address will not be published.