조심하세요: WinRAR 취약점 PoC 공개
한 해커가 최근 a 가짜 개념 증명(PoC) 이전에 패치된 WinRAR 취약점에 대한 가짜 개념 증명 익스플로잇을 게시했습니다. 이 악의적인 작전의 목표는 다음과 같습니다. 의심하지 않는 다운로드자를 악명 높은 VenomRAT 바이러스(. 당장의 위협은 완화되었지만, 이 사건은 안전성에 대한 충분한 테스트 없이 GitHub와 같은 서비스에서 얻은 PoC를 단순히 받아들이는 것의 위험성을 강조합니다.
가짜 PoC 발견
팔로알토 네트웍스 유닛 42 팀의 사이버 보안 전문가들이 가짜 PoC 익스플로잇을 발견했습니다. On 2023년 8월 21일에 공격자가 이 악성 코드를 깃허브에 게시했습니다.. 이 시도는 다행히 실패로 돌아갔지만, 이 에피소드는 검증되지 않은 PoC에 내재된 위험성을 명확하게 상기시켜 줍니다.
조작된 조작된 PoC는 CVE-2023-40477 취약점을 악용했습니다.을 악용한 것으로, 6.23 이전 WinRAR 버전에서 사용자 정의된 RAR 파일을 열 때 임의의 코드 실행을 허용합니다. 트렌드마이크로의 제로 데이 이니셔티브에서 발견된 WinRAR 소프트웨어 취약점 을 2023년 6월 8일에 발견했지만, 2023년 8월 17일까지 공식적으로 보고되지는 않았습니다. 이 취약점은 WinRAR 보안 업데이트 에서 이 문제를 신속하게 수정하여 8월 2일에 출시된 버전 6.23에서 이 문제를 신속하게 해결했습니다.
위협 행위자의 신속한 조치
스스로를 호출하는 엔티티 "whalersplonk"라는 단체는 기회를 재빨리 포착하여 멀웨어를 새로운 WinRAR 보안 결함. 악성 패키지의 정당성을 부여하기 위해 위협 행위자는 README 파일에 요약본을 게시하고, Streamable에 PoC 사용 방법을 자세히 설명하는 데모 비디오를 게시했습니다.
반면에 유닛 42 승무원들이 발견한 것은 우려스러운 것이었습니다. 겉으로 보기에 파이썬 PoC 스크립트는 공개적으로 사용 가능한 익스플로잇의 수정된 버전으로 밝혀졌습니다. 별도의 취약점을 겨냥한 익스플로잇의 수정 버전으로 밝혀졌습니다.. 이 별개의 버그는 지오서버에 영향을 미치는 심각한 SQL 인젝션 취약점이었습니다.
베놈랫의 위협
계획된 익스플로잇을 실행하는 대신, 거짓 WinRAR PoC 은 배치 스크립트. 이 스크립트는 감염된 호스트에서 인코딩된 PowerShell 스크립트를 다운로드하고 실행했습니다. 최종 결과는? VenomRAT 악성 코드가 시스템에 침입하여 일련의 악의적인 동작을 트리거했습니다..
Windows 디바이스에서 실행되면 VenomRAT는 키 로거를 시작했습니다. 이 무서운 소프트웨어는 모든 키 입력을 기록하고 로컬 텍스트 파일에 데이터를 저장했습니다. 그 후, 이 바이러스는 명령 및 제어(C2) 서버와 통신하여 수많은 경보 명령을 수신했습니다. 이러한 명령은 레지스트리에 저장된 플러그인 활성화부터 소프트웨어 레지스트리 하위 키 삭제까지 다양했습니다. 이 멀웨어는 심지어 C2 서버에 핑을 보내는 시간을 계산할 수도 있었습니다.
주어진 추가 페이로드를 배포하고 중요한 자격 증명을 훔칠 수 있는 VenomRAT의 능력을 고려할 때을 훔칠 수 있다는 점을 고려할 때, 허위 PoC를 실행한 사용자는 모든 계정과 환경에서 비밀번호를 재설정해야 합니다.
WinRAR 취약점의 전략적 속임수
유닛 42가 수립한 시간표에 따르면, 위협 행위자는 공격 인프라와 페이로드를 체계적으로 개발했습니다. 공격 인프라와 페이로드를 체계적으로 개발했습니다. WinRAR 익스플로잇. 이러한 의도적인 접근 방식은 동일한 공격자가 향후 새로 공개된 취약점에 대한 보안 커뮤니티의 관심이 높아진 틈을 타 여러 이슈에 대한 추가적인 기만적인 PoC를 전파할 수 있음을 시사합니다.
더 광범위한 위협 환경
깃허브와 같은 플랫폼에서 사기성 PoC를 공개하는 사례는 드문 일이 아닙니다. 사이버 범죄자와 보안 연구자 모두 위협 행위자의 표적이 되는 경우가 많습니다. 연구원들이 발견한 수많은 제로데이 취약점에 대한 가짜 PoC 익스플로잇을 푸시하는 수천 개의 GitHub 리포지토리 제로데이 취약점 이르면 2022년 말. 이러한 수상한 리포지토리 중 다수는 멀웨어에 감염되어 있었습니다, 악성 파워셸 스크립트, 숨겨진 정보 탈취 다운로더, 심지어 Cobalt Strike 드로퍼에 감염되어 있었습니다.
결론
끊임없이 변화하는 사이버 보안 위협의 영역에서 경계를 늦추지 않는 것은 필수입니다. 위조 PoC의 출현은 다음과 같은 사실을 분명히 상기시켜 줍니다. 신뢰를 무분별하게 부여해서는 안 됩니다.특히 사이버 보안 연구 및 테스트 분야에서는 더욱 그렇습니다. 출처를 알 수 없는 PoC를 다룰 때는 항상 주의를 기울여야 합니다. 강력한 보안 조치를 선제적으로 마련하여 악의적인 공격으로부터 시스템을 보호.
이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스 와 삐걱거리는 컴퓨터.