محققین شرکت Palo Alto حمله بدافزاری را کشف کردند که از #آسیب_پذیری روز صفر Adobe Flash ، که با شناسه “CVE-2018-5002” ثبت شده، استفاده میکند و بدافزار جدیدی را به نام “chainshot” را نصب میکند. اولین بردار حمله، یک فایل مخرب مایکروسافت اکسل است که در صورت باز شدن، شروع به نصب بدافزار میکند. اکسپلویت و پیلودهای شل کد درون بدافزار، مبهم سازی شدهاند.
. اکسپلویت تلاش میکند با به دست آوردن مجوزهای خواندن-نوشتن-اجرا را به دست بیاورد و پیلود شل کد را اجرا کند. شل کد، یک فایل DLL به نام “FirstStageDropper” را در حافظه ماشین قربانی بارگذاری میکند و دو منبع شامل فایل “SecondStageDropper” و یک شل کد 64 بیتی را درحالت کرنل اجرا میکند. بدافزار chainshot، اطلاعات فرآیند و کاربر سیستم را به صورت رمز شده به سرور مهاجم ارسال میکند. فایل SecondStageDropper.dll به صورت یک دانلود کننده برای پیلود نهایی استفاده میکند که اطلاعات متفاوتی را از سیستم قربانی جمعآوری میکند و آن را به صورت رمز شده را به مهاجم ارسال میکند.
این محققین موفق شدند با کرک کلید 512 بیتی RSA استفاده شده برای رمزگذاری در این حمله، به پیلودها و اکسپلویت این بدافزار دست پیدا کنند. در ادامه این گزارش، ابتدا نحوه اجرای حمله توضیح داده میشود تا علت نیاز به کلید 512 بیتی RSA درک شود و سپس نحوه کرک کلید 512 بیتی و کشف بدافزار بیان میشود
- 2