WinRAR ACE漏洞被用來安裝後門

研究人員近日發現一起傳播惡意RAR的垃圾郵件活動，其中惡意的RAR文件就利用了新發現的WinRAR ACE漏洞來安裝惡意軟體。

上周，Checkpoint在博客中介紹了WinRAR UNACEV2.DLL庫中潛藏了19年的漏洞，允許偽造的ACE文件在提取文件時可以提取到Windows開始菜單中。這樣惡意可執行文件就獲得了駐留，當用戶再次登陸到Windows中後會自動啟動。

為了修復該漏洞，WinRAR開發者直接移除了UNACEV2.DLL和ACE文件類型支持。但有超過5億用戶已經安裝了WinRAR，惡意軟體也會利用這些已經安裝而未升級的版本進行發起攻擊。

360威脅情報中心發推文稱發現了一個分發惡意RAR文件的郵件，該文件提取後會釋放一個後門文件感染計算機。

這是第一個通過利用WinRAR漏洞通過郵件傳播的在野惡意軟體。經過分析，該後門是MSF生成的，當UAC關閉時，後門會寫入開始菜單文件夾中。樣本參見https://www.virustotal.com/#/file/7871204f2832681c8ead96c9d509cd5874ed38bcfc6629cbc45472b9f388e09c/detection。

BleepingComputer研究人員下載樣本並在十六進位編輯器中打開RAR文件可以看到漏洞利用計劃提取文件到用戶的開始菜單。

如果UAC在運行時嘗試提取文件，因為缺乏許可權無法將惡意軟體釋放到C:ProgramData文件夾中。最終導致WinRAR顯示訪問被拒絕或者操作失敗的錯誤信息，如圖所示。

如果UAC被禁用或WinRAR以管理員許可權運行，就會成功將惡意軟體安裝到C:ProgramDataMicrosoftWindowsStart MenuProgramsStartupCMSTray.exe。

然後CMSTray.exe就被提取到用戶的開始菜單文件夾中了，當用戶下一次登陸時，該可執行文件就會啟動。啟動後，會複製CMSTray.exe到%Temp%wbssrv.exe，並執行wbssrv.exe文件。

啟動%Temp%wbssrv.exe

啟動後，惡意軟體會連接到http://138.204.171.108/來下載不同的文件，包括Cobalt Strike Beacon DLL。Cobalt Strike Beacon是一個滲透測試工具，常被犯罪分子用來獲取受害者計算機的遠程訪問許可權。

下載Cobalt Strike Beacon DLL

DLL文件載入後，攻擊者就可以遠程訪問計算機，執行命令並在計算機所在網路中傳播到其他計算機。

研究人員猜測未來會有更多嘗試利用該漏洞的惡意軟體和攻擊活動出現，有可能會通過垃圾郵件也有可能是通過其他方法，需要注意的是一定要儘快升級到WinRAR的最新版本。如果無法升級，那麼可以使用 0Patch的WinRAR micropatch補丁來解決該bug。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！