影响超5亿用户:WinRAR绝对路径穿越漏洞(CVE-2018-20250)在野利用传播后门

  • 来源:深信服安全中心
  • 发布时间:2019-02-26
#

事件描述

背景概述

WinRAR是一款用于Windows系统的解压缩工具,全球用户量超过5亿。2019年2月20日,Check Point公布了之前向WinRAR报告的几个安全漏洞,攻击者可利用该漏洞制作恶意ACE格式文件,解压文件时利用ACE解压模块文件UNACEV2.dll中的路径遍历漏洞将文件解压缩到攻击者指定的路径。使用该漏洞将恶意文件释放到启动文件夹中能使系统在启动时执行恶意程序。

深信服安全团队持续跟踪事态进展,捕获到在野利用该漏洞传播后门程序的恶意样本,并对其进行详细分析。(漏洞预警详情可参考文章:《WinRAR目录穿越漏洞预警》


恶意文件分析

由于压缩文件不易引起用户的警惕,攻击者通常利用邮件、挂马等形式传播恶意的ACE格式压缩文件,在解压文件之前查看压缩文件中包含本地磁盘:

02.png


查看文件内容可以看到释放恶意程序的路径,以及包含的恶意程序文件:

03.png


当用户在没有开启用户账户控制时解压该压缩文件,由于UNACEV2.dll中存在路径遍历漏洞,在解析解压路径”C:C:../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hi.exe”时,遇到”../”符号会跳过遍历循环,直接返回路径” C:../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hi.exe”,实现路径穿越,释放恶意程序到启动,当用户重启计算机时会自动运行该恶意程序:

01.png


释放的恶意可执行文件是一个后门程序,会连接www[.]iptrackeronline[.]com查询本机IP信息,连接34.242.151.249:9003传输信息:

04.png

解决方案

病毒查杀

1. 深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

 http://edr.sangfor.com.cn/tool/SfabAntiBot.zip


2. 深信服EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

06.png


病毒防御

1. 及时更新升级WinRAR(5.70 beta 1)到最新版本,软件厂商发布的下载地址如下:

32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe


2. 无法更新版本时建议删除UNACEV2.DLL文件,在解压除ace文件外的压缩文件时不会影响使用;

3. 不要点击来源不明的邮件附件,不从不明网站下载软件;

4. 深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。


最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。