首个完整利用WinRAR漏洞传播的恶意样本分析

背景

WinRAR是一款流行的压缩工具，据其官网上发布的数据，全球有超过5亿的用户在使用WinRAR。

2019年2月20日，安全厂商checkpoint发布了名为<<Extracting a 19 Year Old Code Execution from WinRAR>>的文章（见参考[1]），文章披露了一个存在于WinRAR中用于ace文件解析的DLL模块中的绝对路径穿越漏洞，可导致远程代码执行。

2019年2月22日，在该漏洞被披露后短短一天多时间后，360威胁情报中心便截获了首个利用WinRAR漏洞（CVE-2018-20250）传播木马程序的恶意ACE文件。该恶意压缩文件被命名为ModifiedVersion3.rar，并通过邮件发送，当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞，漏洞利用成功后会将内置的木马程序写入到用户计算机的全局启动项目录中，任意用户重启系统都会执行该木马程序从而导致电脑被控制。

样本在VirusTotal上的检测情况

样本分析

Dropper（ModifiedVersion3.rar）

捕获到的恶意压缩文件被命名为ModifiedVersion3.rar，并通过邮件发送：

而该RAR文件实际上为有漏洞的ACE格式的压缩文件，文件内的解压目标的相对路径（filename）被攻击者修改为了全局的启动项目录：

一旦用户在本地计算机上使用WinRAR对该文件执行解压操作，便会触发漏洞，漏洞利用成功后会将内置的木马程序写入到用户计算机的全局启动项目录中：

C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup\ CMSTray.exe

写入全局启动项及限制条件

虽然该恶意样本利用巧妙（通过将木马写入到一个固定的全局启动项地址来持久化），但是该写入操作需要用户计算机关闭了UAC（用户账户控制）才能成功写入，否则在解压时会出现如下错误提示：

Backdoor（CMSTray.exe）

释放到全局启动目录的木马程序是一个伪装为Office Word文档图标的可执行文件：CMSTray.exe，该木马会在内存中解密一段ShellCode，ShellCode主要功能是下载hxxp://138.204.171.108/BxjL5iKld8.zip文件，并解密为另一段ShellCode：

后续的ShellCode使用MetaSploit生成，ShellCode执行后连接C&C地址138.204.171.108:443

漏洞分析

该漏洞是由于与ace处理相关的DLL在对解压目标的相对路径（filename）进行解析时，由于CleanPath函数过滤路径不严格导致：

如针对以下路径：

C:\C:C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe

调用这个函数后

CleanPath(“C:\C:C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe”)

经过Step1：

C:C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe

经过Step2：

C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe

经过Step3：

此时因为C:之后使用的是“../”不是“..\”，所以不会进入while循环，直接返回。

最后返回的结果为：

C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe

这个路径可以直接实现路径穿越：

缓解措施

1、  目前软件厂商已经发布了最新的WinRAR版本，360威胁情报中心建议用户及时更新升级WinRAR（5.70 beta 1）到最新版本，下载地址如下：

 

32 位：

http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 位：

http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

 

2、 如暂时无法安装补丁，可以直接删除漏洞的DLL（UNACEV2.DLL），这样不影响一般的使用，但是遇到ace的文件会报错。

 

目前，基于360威胁情报中心的威胁情报数据的全线产品，包括360威胁情报平台（TIP）、天眼高级威胁检测系统、360 NGSOC等，都已经支持对此类攻击的精确检测。

IOC

MD5

6c702c25ec425764a303418b2d3f99ae

e4f1d20fdc3d558a22895a9729a12cf6

URL

hxxp://138.204.171.108/BxjL5iKld8.zip

C&C

138.204.171.108:443

参考链接

[1].https://research.checkpoint.com/extracting-code-execution-from-winrar/

[2].https://twitter.com/360TIC/status/1099987939818299392

[3].https://ti.360.net/advisory/articles/360ti-sv-2019-0009-winrar-rce/

文章来源：360威胁情报中心

你可能喜欢

实战!打造WinRAR代码执行漏洞的种植EXP

WinRAR被曝严重安全漏洞 5亿用户受影响