• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

黑客利用WPS Office漏洞注入后门


Recommended Posts

黑客利用WPS Office漏洞向目标系统注入后门。

Avast研究人员发现,黑客利用WPS Office漏洞向目标系统注入后门。

CVE-2022-24934——WPS office漏洞

WPS是一个跨平台的办公套件,安装量超过12亿次。用户主要分布在中国和中国香港,是第一款支持中文的文字处理工具。CVE-2022-24934是WPS Office更新工具中的一个安全漏洞。

要利用此漏洞,需要修改HKEY当前用户下的注册表。在此操作之后,攻击者可以驻留在系统上并控制更新过程。与C2服务器建立通信连接,检索有效负载,并在被黑的机器上运行代码。

How  the  WPS  exploit  leads  to  malware  deployment

利用WPS漏洞部署恶意软件

Avast已经向WPS通报了这个任意代码执行漏洞,厂商也发布了补丁,但并不是所有用户都应用了补丁来修复系统。

工具集

在攻击活动中,黑客也使用了大量的攻击工具。

注入被入侵系统的第一阶段有效载荷是一个DLL后门和一个释放器。DLL后门的功能是建立C2通信。释放器旨在提升系统中的权限,回收八个二级有效载荷,实现不同的功能。

Proto8是第二阶段的核心模块。载入系统后,它将执行以下操作:

执行初始化检查并建立旁路机制;

自更新模块,加载配置文件,设置工作目录;

收集用户名、DNS、NetBios计算机名、操作系统、架构等信息;

验证硬编码的C2地址,并尝试连接到攻击者控制的服务器。

Proto8 performing  its  self-update  and  setup

Proto8执行自我升级和设置。

上述步骤完成后,核心模块将等待来自远程服务器的命令。服务器发送的命令主要包括:

将收集到的数据发送到C2服务器;

找出所有远程桌面会话的用户名、域名和计算机名。

枚举根磁盘;

枚举文件,找出访问和创建的细节;

使用窃取和复制的令牌创建一个进程;

重命名文件;

删除文件;

创建一个目录;

通过API函数发送错误代码;

枚举特定文件夹的文件;

将文件上传到C2服务器;

创建一个目录来保存从C2下载的文件。

Proto8还有一个插件加载系统,用于提供与常驻、UAC旁路、后门功能和旁路功能相关的功能。

其中一个插件将操作注册表创建一个新用户,然后使用这个新帐户建立与这台机器的RDP连接,无需管理员密码。该插件启用匿名SID,允许空会话用户访问共享网络文件夹,并禁用管理员权限,以便所有应用程序都可以使用完全权限运行。

Link to comment
Share on other sites