黑客利用Excel文件來執行ChainShot惡意軟體攻擊

針對近日曝光的 Adobe Flash 零日漏洞（CVE-2018-5002），已經出現了一款名叫 CHAINSHOT 的惡意軟體攻擊。其利用微軟 Excel 檔案包含的微型 Shockwave Flash ActiveX 物件、以及一個所謂的“電影”的 URL 連結，忽悠人們去下載 Flash 應用程式。研究人員攻破了其採用的 512-bit RSA 金鑰，從而揭開了它的神祕面紗。

惡意 Shockwave Flash ActiveX 物件屬性

研究人員發現，該 Flash 應用程式其實是一個混淆的下載器：

程序會在記憶體中建立一個隨機的 512-bit RSA 金鑰對，將私鑰保留在記憶體中、並將公鑰傳送到攻擊者的ofollow,noindex">伺服器 ，以加密 AES 金鑰（用於加密有效負載）。

之後將加密的有效負載和現有的私鑰傳送到下載程式，以解密128位AES金鑰和有效負載。Palo Alto Networks Unit 42 的研究人員破解了加密，並分享了他們的破解方法。

儘管私鑰僅保留在記憶體中，但公鑰的模數 n 被髮送到了攻擊者的伺服器。

在伺服器端，模數與硬編碼指數 e 0x10001 一起使用，以加密此前用於加密漏洞和 shellcode 有效載荷的128-bit AES 金鑰。

揭祕 shellcode 有效載荷的 HTTP POST 請求（其模數 n 為十六進位制）

一旦研究人員解密了 128-bit AES 金鑰，就能夠解密有效負載。

獲得 RWE 許可權之後，執行就會傳遞給 shellcode，然後在內部載入一個名為 FirstStageDropper.dll 的嵌入式 DLL 。

最後，研究人員分享了感染指徵（Indicators of Compromise）：

[編譯自：MSPU , 來源：Palo Alto Networks ]