最新WinRAR安全漏洞的 100個獨特漏洞利用和計數(shù)

在過去一個月中，影響過去19年發(fā)布的所有WinRAR版本的漏洞已成為許多惡意軟件分發(fā)者的首選漏洞。

到目前為止，已經(jīng)發(fā)現(xiàn)了幾項活動，在這些活動中，網(wǎng)絡(luò)犯罪組織以及可能的某些國家級黑客試圖利用WinRAR漏洞在用戶設(shè)備上植入惡意軟件。

該漏洞是由Israli網(wǎng)絡(luò)安全公司Check Point的安全研究人員于2月20日公開披露的。攻擊者可以創(chuàng)建誘騙陷阱的歸檔文件，將其與WinRAR應(yīng)用程序解壓縮后，會將惡意文件放在用戶系統(tǒng)上的任何位置。

Check Point辯稱，攻擊者將利用此漏洞(跟蹤為CVE-2018-20250)將惡意軟件植入Windows Startup文件夾，該文件將在每次系統(tǒng)重新啟動后自動執(zhí)行。

他們的預(yù)感是正確的，并且在一周之內(nèi)，黑客組織開始利用此漏洞在用戶計算機上植入后門特洛伊木馬。

可能是第一個通過郵件傳遞的利用WinRAR漏洞的惡意軟件。如果UAC已關(guān)閉，則后門由MSF生成并由WinRAR寫入全局啟動文件夾。https://t.co/bK0ngP2nIy

IOC：

hxxp：//138.204.171.108/BxjL5iKld8.zip

138.204.171.108:443 pic.twitter.com/WpJVDaGq3D

— 360威脅情報中心(@ 360TIC)，2019年2月25日

垃圾郵件活動在第一次活動之后繼續(xù)進行，并通過各種誘餌(從技術(shù)文檔到成人圖片)，以多樣化的方式傳播不同的惡意軟件有效載荷。

警告!#WinRAR漏洞(#CVE -2018-20250)漏洞的升級，利用社會工程學(xué)用嵌入式圖像文件吸引受害者，并在交付之前加密惡意ACE存檔。

分析報告：https

: //t.co/LEcRPqP0cT中文版本：https: //t.co/wbDCdZl1YV pic.twitter.com/8cjieD1xVJ

— 360威脅情報中心(@ 360TIC)，2019年2月27日

試圖利用WinRAR漏洞的惡意檔案也于2月底在越南舉行的第二屆唐納德·特朗普和金正恩首腦會議的前一天發(fā)送給了韓國政府機構(gòu)。

他們說，雖然當(dāng)時ZDNet與之交談的安全研究人員均未確認(rèn)與朝鮮或俄羅斯國家黑客組織有任何聯(lián)系，但時間和目標(biāo)與民族國家黑客行動保持一致。

但這并不是使用WinRAR漏洞看到以政治為主題的魚叉式釣魚活動的唯一事件。還有兩個。

第一個使用有關(guān)烏克蘭法律的主題來誘使受害者解壓縮利用WinRAR漏洞的惡意檔案。

#WinRAR exploit(#CVE -2018-20250)示例似乎針對#Ukraine，其中嵌入了與烏克蘭法律相關(guān)的PDF文檔。它將刪除mssconf.bat以下載并執(zhí)行其他PowerShell腳本。

惡意網(wǎng)址：http://31.148.220.53:80 / login /process.php https://t.co/yGJsS4MVTy pic.twitter.com/M6bf6TvpCr

— 360威脅情報中心(@ 360TIC)，2019年2月28日

然后又進行了第二次運動，利用有關(guān)聯(lián)合國和人權(quán)的誘餌來瞄準(zhǔn)中東用戶。

WinRAR漏洞利用(#CVE -2018-20250)示例(United Kingdoms .rar)似乎針對中東。它嵌入了與聯(lián)合國人權(quán)和阿拉伯聯(lián)合酋長國有關(guān)的誘餌文件，最終下載并執(zhí)行了“ Revenge RAT”。https://t.co/WJ4oJ1UxAz pic.twitter.com/fgHYSD4Mk5

— 360威脅情報中心(@ 360TIC)，2019年3月12日

這兩種都是高度針對性的攻擊，很可能是從事網(wǎng)絡(luò)間諜活動的情報服務(wù)的工作。

但是，盡管民族國家似乎已經(jīng)跳上WinRAR的利用火車，但這并不意味著常規(guī)的網(wǎng)絡(luò)犯罪團伙就已經(jīng)停止使用同一漏洞來分發(fā)常見的惡意軟件。

在昨天發(fā)布的一份報告中，美國網(wǎng)絡(luò)安全公司McAfee描述了這些活動中的最新活動，其中一項活動是使用Ariana Grande誘使用戶打開誘殺陷阱的檔案，這些檔案將惡意軟件植入其系統(tǒng)中。

總而言之，邁克菲專家表示，他們已經(jīng)看到使用WinRAR漏洞感染用戶的“ 100種獨特利用和計數(shù)”。

從總體上看，這些攻擊勢必會繼續(xù)，因為WinRAR是理想的攻擊面-該應(yīng)用程序擁有超過5億用戶(根據(jù)其供應(yīng)商)，其中大多數(shù)很有可能運行的是過時的可以利用的版本。

WinRAR開發(fā)人員于1月28日發(fā)布了WinRAR 5.70 Beta 1以解決此漏洞，但是，用戶必須手動訪問WinRAR站點，下載并安裝它。絕大多數(shù)用戶很可能不知道此漏洞甚至存在，更不用說他們需要安裝關(guān)鍵的安全更新。