大家好,今天小编来为大家解答以下的问题，关于首个充分利用WinRAR漏洞进行传播的恶意样本分析，这个很多人还不知道，现在让我们一起来看看吧！

2019年2月22日，漏洞披露仅一天多，360威胁情报中心就截获了第一个利用WinRAR漏洞（CVE-2018-20250）传播木马程序的恶意ACE文件。恶意压缩文件名为ModifiedVersion3.rar，并通过电子邮件发送。当受害者在本地计算机上通过WinRAR解压文件时，就会触发该漏洞。该漏洞成功利用后，内置木马程序将被写入用户计算机。在全局启动项目录中，如果任何用户重新启动系统，就会执行木马程序，导致计算机被控制。

VirusTotal 上的示例检测状态

样品分析

滴管(修改版3.rar)

捕获的恶意压缩文件名为ModifiedVersion3.rar并通过电子邮件发送：

RAR 文件实际上是一个易受攻击的ACE 格式压缩文件。文件中解压目标的相对路径（文件名）被攻击者修改为全局启动项目目录：

一旦用户在本地计算机上使用WinRAR解压文件，就会触发该漏洞。漏洞成功利用后，内置木马程序将被写入用户计算机的全局启动项目目录中：

C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup\ CMSTray.exe

编写全局启动项和限制

虽然恶意样本利用巧妙（通过将木马写入固定的全局启动地址进行持久化），但写入操作需要用户计算机关闭UAC（用户帐户控制）才能写入成功，否则会在写入过程中被删除。减压。将出现以下错误消息：

后门(CMSTray.exe)

释放到全局启动目录的木马程序是一个伪装成Office Word文档图标的可执行文件：CMSTray.exe。木马会解密内存中的ShellCode。该ShellCode的主要功能是下载hxxp://138.204.171.108/BxjL5iKld8.zip文件并解密为另一个ShellCode：

随后的ShellCode是使用MetaSploit生成的。 ShellCode执行后，连接CC地址138.204.171.108:443。

漏洞分析

该漏洞是由于解析ace处理相关DLL中解压目标的相对路径（文件名）时，CleanPath函数过滤路径不严造成的：

例如，对于以下路径：

C:\C:C:/AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe

调用该函数后

CleanPath("C:\C:C:/AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe")

步骤1之后：

C:C:/AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe

步骤2之后：

C:/AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe

步骤3之后：

此时，由于C:使用的是“./”而不是“.\”，因此不会进入while循环，直接返回。

最终返回的结果是：

C:/AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\some_file.exe

该路径可以直接实现路径遍历：

缓解措施

1.目前，软件厂商已经发布了最新的WinRAR版本。 360威胁情报中心建议用户及时更新升级WinRAR（5.70 beta 1）至最新版本。下载地址如下：

32 位：

http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 位：

http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2、如果暂时无法安装补丁，可以直接删除存在漏洞的DLL（UNACEV2.DLL）。这个不会影响一般使用，但是遇到ace文件就会报错。

目前，基于360威胁情报中心的威胁情报数据的全系列产品，包括360威胁情报平台（TIP）、天眼高级威胁检测系统、360 NGSOC等，都支持此类攻击的精准检测。

参考链接

[1].https://research.checkpoint.com/extracting-code-execution-from-winrar/

[2].https://twitter.com/360TIC/status/1099987939818299392