RomCom漏洞利用分析:CVE-2025-8088与WinRAR路径遍历攻击取证

qife122
5 阅读2分钟

RomCom漏洞利用分析:CVE-2025-8088与WinRAR路径遍历攻击取证

0x01 校验和

我们得到了两个文件:RomCom.zip2025-09-02T083211_pathology_department_incidentalert.vhdx

  • RomCom.zip 哈希值:6b4fefb92769b8cf106c6b13b773e5b093b67b64509d05056ee32352c788e2d0
  • .vhdx 文件哈希值:cccd85ef47fd372aeb1f0f759d212dda378a8b0832bd98d4263eb6a9c7d99ee1

进行完整性校验,确保获得的是原始文件。

0x02 磁盘挂载

RomCom.zip 内部包含 .vhdx 文件,即 Microsoft 磁盘映像扩展(VHDX)。VHDX 是 Microsoft Hyper-V 虚拟化平台使用的现代虚拟硬盘文件格式,包含元数据、文件及其他详细信息。

Linux 挂载步骤

  1. 检查可用磁盘:lsblk
  2. 加载 nbd 模块:sudo modprobe nbd max_part=8
  3. 连接 vhdx 文件到 nbd0:
    sudo qemu-nbd --connect=/dev/nbd0 2025-09-02T083211_pathology_department_incidentalert.vhdx
  4. 查看分区:lsblk 显示 nbd0p1 分区
  5. 创建挂载点并只读挂载:
    sudo mkdir /mnt/romcom
    sudo mount -o ro /dev/nbd0p1 /mnt/romcom

挂载后目录中包含:

  • 2025-09-02T08_32_11_5202830_CopyLog.csv(记录时间戳的Excel文件)
  • System Volume Information(数据库文件)
  • C 目录,内含 $MFT$J 文件

MFT:主文件表,记录文件名、大小等所有元数据。MFT**:主文件表,记录文件名、大小等所有元数据。 **J:USN 变更日志,记录文件的每一次更改。

0x03 ROMCOM 与 CVE-2025-8088

问题1:RomCom 威胁组织在 2025 年利用的 WinRAR 漏洞对应的 CVE 编号是什么?
答案:CVE-2025-8088

问题2:该漏洞的性质是什么?
答案:路径遍历(Path Traversal)

0x04 分析 MFTMFT 与 J 文件

使用 Eric Zimmerman 工具集:

  • MFTECmd:将 MFT 文件导出为 CSV
  • Timeline Explorer:查看数据详情

提取命令示例

MFTECmd.exe -f C:\Users\Window10_Pro\Desktop\RomCom\$MFT --csv C:\Users\Window10_Pro\Desktop\RomCom

$J 文件执行相同操作。

问题3:Susan 文档文件夹中,打开时利用漏洞的压缩包文件名是什么?
在 Timeline Explorer 中过滤 .rar 文件,确认名称为:
答案Pathology-Department-Research-Records.rar

问题4:该压缩包在磁盘上的创建时间是什么?
通过 $J 日志文件查找“File Created time”:
答案:2025-09-02 08:13:50

问题5:该压缩包被打开的时间是什么?
查找 ObjectIdChange 属性:
答案:2025-09-02 08:14:04

问题6:从压缩包中解压出的、用于伪装合法文件以分散用户注意力的诱饵文档名称是什么?
过滤路径 .\users\susan\Documents,发现可疑文件:
答案Genotyping_Results_B57_Positive.pdf

问题7:压缩包释放的实际后门可执行文件的名称和路径是什么?
通过相似时间戳过滤,发现可疑 exe 文件:
答案ApbxHelper.exe(路径:.\users\susan\AppData\Roaming\Microsoft\Windows\Recent

问题8:利用过程中还释放了哪个文件用于后门的持久化与执行?
分析 $MFT 发现 Startup 目录下的 .lnk 文件:
答案C:\Users\Susan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Display Settings.lnk

问题9:上一个问题所涉及的 MITRE ATT&CK 技术ID是什么?
.lnk 是修改后的快捷方式文件,用作后门并随系统启动执行。
答案:T1547.009 CSD0tFqvECLokhw9aBeRqqks6I8SbZ4AGpsNGryhdncX80/XWEnamoASdUOl5fxrXdXnp90sd1bs9y6OcLsxeaNsgP6C4EbbPyPpV0dzfud1FHqEEFasV8hSLw7Nbcvc

avatar
文章
阅读
粉丝