چاپ        ارسال به دوست

گزارش تحلیلی بدافزار Chainshot از طریق کرک کلید ۵۱۲ بیتی RSA

محققین شرکت Palo Alto حمله بدافزاری را کشف کردند که از ‫آسیب‌پذیری روز صفر Adobe Flash ، که با شناسه “CVE-۲۰۱۸-۵۰۰۲” ثبت شده، استفاده می‌کند و بدافزار جدیدی را به نام “chainshot” را نصب می‌کند. اولین بردار حمله، یک فایل مخرب مایکروسافت اکسل است که در صورت باز شدن، شروع به نصب بدافزار می‌کند. اکسپلویت و پیلودهای شل کد درون بدافزار، مبهم سازی شده‌اند.

اکسپلویت تلاش می‌کند با به دست آوردن مجوزهای خواندن-نوشتن-اجرا را به دست بیاورد و پیلود شل کد را اجرا کند. شل کد، یک فایل DLL به نام “FirstStageDropper” را در حافظه ماشین قربانی بارگذاری می‌کند و دو منبع شامل فایل “SecondStageDropper” و یک شل کد ۶۴ بیتی را درحالت کرنل اجرا می‌کند. بدافزار chainshot، اطلاعات فرآیند و کاربر سیستم را به صورت رمز شده به سرور مهاجم ارسال می‌کند. فایل SecondStageDropper.dll به صورت یک دانلود کننده برای پیلود نهایی استفاده می‌کند که اطلاعات متفاوتی را از سیستم قربانی جمع‌آوری می‌کند و آن را به صورت رمز شده را به مهاجم ارسال می‌کند. 

این محققین موفق شدند با کرک کلید ۵۱۲ بیتی RSA استفاده شده برای رمزگذاری در این حمله، به پیلودها و اکسپلویت این بدافزار دست پیدا کنند. در ادامه این گزارش، ابتدا نحوه اجرای حمله توضیح داده می‌شود تا علت نیاز به کلید ۵۱۲ بیتی RSA درک شود و سپس نحوه کرک کلید ۵۱۲ بیتی و کشف بدافزار بیان می‌شود.

دانلود پیوست

منبع: https://www.certcc.ir/news/12522


 دسته‌ها:  گزارشات تحلیلی


١٠:٤٥ - چهارشنبه ١٨ مهر ١٣٩٧    /    شماره : ١٨٤٩٤    /    تعداد نمایش : ٦١



خروج