千万别被钓鱼！虚假 CVE-2023-40477 PoC 传播远控木马

2023 年 8 月 17 日，业界披露了 WinRAR 的远程代码执行漏洞，编号为 CVE-2023-40477。该漏洞细节发布四天后，一个名为 halersplonk 的攻击者在 GitHub 上部署了一个虚假的 PoC 脚本。该虚假的 PoC 脚本基于公开公用的 PoC 脚本（CVE-2023-251157），该脚本利用名为 GeoServer 的应用程序中的 SQL 注入漏洞进行攻击。在分析了该虚假 PoC 脚本后，研究人员发现该脚本最终会安装 VenomRAT 远控木马。

一旦漏洞被公开披露，攻击者就会迅速采取行动。由于 WinRAR 在全球的用户超过 5 亿，其软件的漏洞会被广为关注。

以假乱真

一位身份不明的攻击者使用 halersplonk 为名，公开发布 WinRAR 的远程代码执行漏洞（CVE-2023-40477）的虚假 PoC。这个脚本不仅不是针对该漏洞的 PoC，还是针对另一个软件 GeoServer 漏洞（CVE-2023-25157）的 PoC。

WinRAR 的 CVE-2023-40477 是一个远程代码执行漏洞。ZerodayInitiative 最早在 2023 年 6 月 8 日报告了该漏洞，并在 2023 年 8 月 17 日将漏洞公开。攻击者在漏洞公开仅仅四天后，就将恶意文件提交到 GitHub 上。

研究人员称，虚假的 PoC 被存储在名为 halersplonk 的用户的 GitHub 仓库中。目前该仓库已经被删除，无法进行访问。

伪造的 PoC 脚本是使用 Python 编写的，已经上传到了 VirusTotal 中。文件名为 CVE-2023-40477-main.zip，具体来说是 poc.py。下面列出了压缩文件中的内容，该压缩文件是通过单击 GitHub 页面中的下载按钮下载整个仓库生成的。

Listing archive: CVE-2023-40477-main.zip

--

Path = CVE-2023-40477-main.zip

Type = zip

Physical Size = 2360

Comment = 82cb695f463b93b9cc089253cd6b5e32dce46c35

Date Time Attr Size Compressed Name

------------------- ----- ------------ ------------ ------------------------

2023-08-21 21:15:49 D.... 0 0 CVE-2023-40477-main

2023-08-21 21:15:49 ..... 752 442 CVE-2023-40477-main/README.md

2023-08-21 21:15:49 ..... 3656 1424 CVE-2023-40477-main/poc.py

------------------- ----- ------------ ------------ ------------------------

2023-08-21 21:15:49 4408 1866 2 files, 1 folders
（向右滑动，查看更多）

社会工程学

下图为攻击者提供的 README.md 文件，介绍了 CVE-2023-40477 漏洞的基本情况与 poc.py 脚本的使用说明，进一步诱骗用户上钩。文件中还提供了部署在 Streamable.com 的视频链接，由于视频已于 2023 年 8 月 25 日上午过期，已经无法再访问。

查看 Streamable 的元数据，可以发现视频上传的时间与制作虚假 PoC 的时间相吻合。根据元数据，该视频的播放次数超过 100 次。

视频虽然没有了，但是可以获取得到视频的两个缩略图。用户播放视频前，Streamable 显示的第一张图片中是桌面与任务管理器。如下所示，任务管理器中有一个名为 Windows.Gaming.Preview 的进程，该进程与后面介绍的 VenomRAT 远控木马同名。研究人员怀疑，攻击者使用相同的系统测试 Payload 并制作演示视频。

第二张图片中有 Burp Suite 的压缩包、密码与 PuTTY 客户端，攻击者假装展示如何制作恶意压缩文件并通过虚假 PoC 利用漏洞（CVE-2023-40477）。屏幕截图中还显示了 Windows 系统时间为 3:18 PM 8/21/2023，据此可以推测攻击者所在的时区。

研究人员认为视频中的压缩文件 burpsuite_pro_v2023.2.2.zip 是从 Telegram 中获取的，如下所示。研究人员没有进一步确认该 Burp Suite 应用程序是否为合法版本，毕竟可以通过官方渠道下载。

虚假PoC

压缩文件中的虚假 PoC 脚本名为 poc.py，攻击者基于开源的 CVE-2023-25157 进行了修改。如下所示，修改包括以下部分：

• 删除了有关 CVE-2023-25157 漏洞详细信息的介绍
• 删除了表示该漏洞与网络漏洞有关的代码，如名为 PROXY 与 PROXY_ENABLED 的变量
• 修改了包含 geoserver 的字符串
• 新增下载并执行批处理脚本的代码，并注释为“检查依赖关系”

由于删除了部分代码，poc.py 脚本不能够完整正常运行。但添加到脚本中的恶意代码，可以在脚本因异常结束前完成执行，如下所示。

攻击者创建的批处理脚本 %TEMP%/bat.bat 可以访问以下 URL，并执行响应结果。

http://checkblacklistwords[.]eu/check-u/robot?963421355?Ihead=true

（向右滑动，查看更多）

URL 上部署的脚本会运行一个经过编码的 PowerShell 脚本，该脚本会通过 checkblacklistwords[.]eu/c.txt 下载另一个 PowerShell 脚本。脚本会被保存在 %TEMP%\c.ps1 并运行，如下所示：

下载的 PowerShell 脚本会再通过 checkblacklistwords[.]eu/words.txt 下载可执行文件，并将其保存到 %APPDATA%\Drivers\Windows.Gaming.Preview.exe。PowerShell 脚本不仅运行可执行文件，还会创建一个名为 Windows.Gaming.Preview 的计划任务，该任务每三分钟运行一次可执行文件进行持久化。

可执行文件 Windows.Gaming.Preview.exe 是 VenomRAT 远控木马的变种，与前文介绍的任务管理器中的进程同名。这表明，攻击者在制作视频时可能就已经在系统上运行 VenomRAT 远控木马了。

该远控木马配置文件如下所示：

Por_ts = null

Hos_ts = null

Ver_sion = Venom RAT + HVNC + Stealer + Grabber v6.0.3

In_stall = false

MTX = fqziwqjwgwzscvfy

Paste_bin = http://checkblacklistwords[.]eu/list.txt

An_ti = false

Anti_Process = false

BS_OD = false

Group = Default

Hw_id = HEX(MD5(<cpu count> + <username> + <hostname> + <os version> + <system directory>))

Server_signa_ture = TtHk/GR7jC2p75o/t7g/BLsDYghocYu2[snip]

Server_certificate = MIICOTCCAaKgAwIBAgIVAPyfwFFMs6h[snip]
（向右滑动，查看更多）

配置中 Paste_bin 为 http://checkblacklistwords[.]eu/list.txt，可执行文件与该地址通信获取 C&C 服务器。通过该 URL 可知 C&C 服务器位于 94.156.253[.]109:4449。

该 VenomRAT 木马会启动按键记录功能，将按键保存到 %APPDATA%\MyData\DataLogs_keylog_offline.txt。木马与 C&C 服务器进行通信，支持的命令如下所示：

这个 VenomRAT 木马是在 2023 年 2 月 8 日 22:10:28 编译的，研究人员一共发现超过七百个 VenomRAT 样本文件都具有相同的编译时间戳。这都表明，木马样本文件可能是使用统一的 VenomRAT 构建工具创建的。

事件时间表

攻击者在 CVE-2023-40477 公开披露前十天创建了 checkblacklistwords[.]eu 域名，这也是将虚假 PoC 代码提交到 GitHub 的前十四天。该域名的 HTTP 响应中包含 Last-Modified 字段，值为 Sun, 16 Jul 2023 18:43:54 GMT，这表示攻击者可能在漏洞公开前一个多月就已经做好准备。

结论

漏洞公开后，未知攻击者试图通过虚假 PoC 来进行攻击。但该 PoC 是虚假的，并没有利用 WinRAR 的漏洞，只是想要通过 WinRAR 的 RCE 漏洞来进行攻击。虚假 PoC 脚本中使用了 GeoServer 的漏洞 PoC，最终安装 VenomRAT 远控木马。

IOC

7fc8d002b89fcfeb1c1e6b0ca710d7603e7152f693a14d8c0b7514d911d04234

ecf96e8a52d0b7a9ac33a37ac8b2779f4c52a3d7e0cf8da09d562ba0de6b30ff

c2a2678f6bb0ff5805f0c3d95514ac6eeeaacd8a4b62bcc32a716639f7e62cc4

b99161d933f023795afd287915c50a92df244e5041715c3381733e30b666fd3b

b77e4af833185c72590d344fd8f555b95de97ae7ca5c6ff5109a2d204a0d2b8e

94.156.253[.]109

checkblacklistwords[.]eu

http://checkblacklistwords[.]eu/check-u/robot?963421355?Ihead=true

http://checkblacklistwords[.]eu/c.txt

http://checkblacklistwords[.]eu/words.txt

https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/