winrar 실패를 사용하여 백도어를 설치하는 악용 탐지

Check Pont의 수사관들은 WinRAR의 버그 발견을 담당했습니다. 거의 20 년 동안 존재 해 온 판결. 필수 보호 메커니즘이없는 2006 년 이전 DLL에서 시작되었습니다. 이 실패로 인해 약 5 억 명의 사용자가 위험에 처할 수 있습니다. 이번 주에 첫 번째 익스플로잇이 탐지되었으며 RAR 파일이 첨부 파일로 포함 된 이메일을 통해 전송되었습니다.

백도어 설치 실패 WinRAR을 악용하는 악용 탐지

특정 오류는 UNACEV2.DLL이라는 타사 라이브러리에 있습니다. 측정 값으로 베타 버전이 출시되었습니다. 이 방법으로 ACE 파일을 지원하지 못합니다.

WinRAR 취약점을 악용하기 위해 메일을 통해 전달 된 최초의 맬웨어 일 수 있습니다. 백도어는 MSF에 의해 생성되고 UAC가 꺼져 있으면 WinRAR에 의해 글로벌 시작 폴더에 기록됩니다.

IOC:

hxxp: //138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D

-RedDrip Team (@ RedDrip7) 2019 년 2 월 25 일

WinRAR 충돌

어제 감염된 컴퓨터에 백도어를 이식하려는 첫 번째 취약점이 발견되었습니다. 따라서 WinRAR에서이 버그를 이용하려는 사람은 처음 인 것 같습니다. 이것이 다른 것이 없다는 것을 의미하지는 않지만 아직 발견되지 않았습니다. 앞에서 언급 한 RAR 파일을 검사 한 결과 C: \ ProgramData \ Microsoft \ Windows \ 시작 메뉴 \ 프로그램 \ 시작 \ 폴더에서 파일을 추출하려고 시도한 것으로 나타났습니다.

이런 일이 발생하면 파일이 % Temp % \에 복사 된 다음 연구원들이 말한 것처럼 wbssrv.exe 파일이 실행됩니다. 악성 코드가 실행되면 사이버 범죄자가 컴퓨터에 원격으로 액세스하는 데 사용되는 Cobalt Strike Beacon DLL이 다운로드됩니다.

회사에서 이미 웹에서 사용할 수 있는 최신 버전의 WinRAR 로 업데이트하는 것이 좋습니다. 다운로드하려면이 링크를 입력해야합니다.

해커 뉴스 글꼴