最新WinRAR安全漏洞的 100个独特漏洞利用和计数

导读 在过去一个月中,影响过去19年发布的所有WinRAR版本的漏洞已成为许多恶意软件分发者的首选漏洞。到目前为止,已经发现了几项活动,在这些活

在过去一个月中,影响过去19年发布的所有WinRAR版本的漏洞已成为许多恶意软件分发者的首选漏洞。

到目前为止,已经发现了几项活动,在这些活动中,网络犯罪组织以及可能的某些国家级黑客试图利用WinRAR漏洞在用户设备上植入恶意软件。

该漏洞是由Israli网络安全公司Check Point的安全研究人员于2月20日公开披露的。攻击者可以创建诱骗陷阱的归档文件,将其与WinRAR应用程序解压缩后,会将恶意文件放在用户系统上的任何位置。

Check Point辩称,攻击者将利用此漏洞(跟踪为CVE-2018-20250)将恶意软件植入Windows Startup文件夹,该文件将在每次系统重新启动后自动执行。

他们的预感是正确的,并且在一周之内,黑客组织开始利用此漏洞在用户计算机上植入后门特洛伊木马。

可能是第一个通过邮件传递的利用WinRAR漏洞的恶意软件。如果UAC已关闭,则后门由MSF生成并由WinRAR写入全局启动文件夹。https://t.co/bK0ngP2nIy

IOC:

hxxp://138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D

— 360威胁情报中心(@ 360TIC),2019年2月25日

垃圾邮件活动在第一次活动之后继续进行,并通过各种诱饵(从技术文档到成人图片),以多样化的方式传播不同的恶意软件有效载荷。

警告!#WinRAR漏洞(#CVE -2018-20250)漏洞的升级,利用社会工程学用嵌入式图像文件吸引受害者,并在交付之前加密恶意ACE存档。

分析报告:https

: //t.co/LEcRPqP0cT中文版本:https: //t.co/wbDCdZl1YV pic.twitter.com/8cjieD1xVJ

— 360威胁情报中心(@ 360TIC),2019年2月27日

试图利用WinRAR漏洞的恶意档案也于2月底在越南举行的第二届唐纳德·特朗普和金正恩首脑会议的前一天发送给了韩国政府机构。

他们说,虽然当时ZDNet与之交谈的安全研究人员均未确认与朝鲜或俄罗斯国家黑客组织有任何联系,但时间和目标与民族国家黑客行动保持一致。

但这并不是使用WinRAR漏洞看到以政治为主题的鱼叉式钓鱼活动的唯一事件。还有两个。

第一个使用有关乌克兰法律的主题来诱使受害者解压缩利用WinRAR漏洞的恶意档案。

#WinRAR exploit(#CVE -2018-20250)示例似乎针对#Ukraine,其中嵌入了与乌克兰法律相关的PDF文档。它将删除mssconf.bat以下载并执行其他PowerShell脚本。

恶意网址:http://31.148.220.53:80 / login /process.php https://t.co/yGJsS4MVTy pic.twitter.com/M6bf6TvpCr

— 360威胁情报中心(@ 360TIC),2019年2月28日

然后又进行了第二次运动,利用有关联合国和人权的诱饵来瞄准中东用户。

WinRAR漏洞利用(#CVE -2018-20250)示例(United Kingdoms .rar)似乎针对中东。它嵌入了与联合国人权和阿拉伯联合酋长国有关的诱饵文件,最终下载并执行了“ Revenge RAT”。https://t.co/WJ4oJ1UxAz pic.twitter.com/fgHYSD4Mk5

— 360威胁情报中心(@ 360TIC),2019年3月12日

这两种都是高度针对性的攻击,很可能是从事网络间谍活动的情报服务的工作。

但是,尽管民族国家似乎已经跳上WinRAR的利用火车,但这并不意味着常规的网络犯罪团伙就已经停止使用同一漏洞来分发常见的恶意软件。

在昨天发布的一份报告中,美国网络安全公司McAfee描述了这些活动中的最新活动,其中一项活动是使用Ariana Grande诱使用户打开诱杀陷阱的档案,这些档案将恶意软件植入其系统中。

总而言之,迈克菲专家表示,他们已经看到使用WinRAR漏洞感染用户的“ 100种独特利用和计数”。

从总体上看,这些攻击势必会继续,因为WinRAR是理想的攻击面-该应用程序拥有超过5亿用户(根据其供应商),其中大多数很有可能运行的是过时的可以利用的版本。

WinRAR开发人员于1月28日发布了WinRAR 5.70 Beta 1以解决此漏洞,但是,用户必须手动访问WinRAR站点,下载并安装它。绝大多数用户很可能不知道此漏洞甚至存在,更不用说他们需要安装关键的安全更新。