2024年4月28日是Eastmount的安全星球 —— 『网络攻防和AI安全之家』正式创建和运营的日子,并且已坚持近一年分享。该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每日推送、网络攻防技术总结、系统安全技术实战、面试求职、安全考研考博、简历修改及润色、学术交流及答疑、人脉触达、认知提升等。下面是星球的新人券,欢迎新老博友和朋友加入,一起分享更多安全知识,比较良心的星球,非常适合初学者和换安全专业的读者学习。
”
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起奋斗~
本文以 WinRAR 相关高危漏洞为主线,系统梳理其在 APT 攻击中的“投递-落地-持久化-后渗透”全链条价值。通过对路径遍历类漏洞(CVE-2018-20250、CVE-2025-6218、CVE-2025-8088)与逻辑缺陷/内存破坏类漏洞(CVE-2023-38831、CVE-2023-40477)的对比分析,揭示攻击者如何利用“压缩包这一低警觉载体”将用户日常操作(解压、预览、打开)转化为执行入口,并借助 Startup/LNK、ADS、临时目录释放与 ShellExecute 行为差异等机制实现隐蔽驻留。文章进一步从版本治理、邮件/下载入口管控、端点行为关联检测与威胁狩猎角度给出工程化防御框架。
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。
文章目录
- 三.CVE-2023-38831 逻辑缺陷任意代码执行漏洞
- 四.CVE-2023-40477 缓冲区越界访问漏洞
作者的github资源:
作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔!
一.CVE-2025-8088 路径遍历漏洞
1.漏洞概述
CVE-2025-8088 是影响 Windows 平台 WinRAR/UnRAR 的高危路径遍历漏洞。攻击者可构造包含 相对路径遍历序列(如 …\)并结合 NTFS 备用数据流(ADS) 的恶意 RAR 压缩包,在受害者“正常解压/打开压缩包”这一低警觉操作中,绕过用户指定解压目录,将恶意文件写入 Windows Startup 启动目录 等关键路径,从而在下次登录/重启后实现持久化与进一步载荷执行。该漏洞已在野利用,且由于 WinRAR 缺乏自动更新机制,补丁覆盖滞后导致其成为典型“n-day”高收益攻击面。
| |
|---|
| |
| Path Traversal / 目录穿越(结合 ADS 的特殊条目实现越界写入 |
| Windows 版 WinRAR、RAR/UnRAR、UnRAR.dll、便携版 UnRAR(Windows) |
| |
| |
| 高危(公开条目与生态系统常见给出 8.8;不同版本/口径可能存在差异) |
| Windows Startup 启动目录(以 LNK/脚本等形成持久化) |
| 已在野利用;被多类威胁主体复用(国家背景与牟利团伙并存) |
| 被纳入 CISA 已知被利用漏洞(KEV),修复截止 2025-09-02 |
2.利用组织
从公开证据看,CVE-2025-8088 的扩散路径呈现出“先高端、后规模化”的典型规律:先由具备零日/高质量利用链能力的组织在定向行动中使用,随后因补丁覆盖不足与细节扩散,被更多组织快速复用,形成跨地区、跨行业的持续性利用面。
(1)RomCom / Storm-0978 / UNC 体系:零日发现与早期定向利用ESET 披露该漏洞系在分析 RomCom 定向钓鱼样本时发现:攻击时间窗集中在 2025-07-18 至 2025-07-21,目标覆盖欧洲与加拿大的金融、制造、国防、物流等行业,意图偏向网络间谍与后续持久控制;投递载荷包括 SnipBot 变种、RustyClaw、Mythic agent 等后门体系。
- 实战特征:邮件主题与诱饵高度行业化(如简历/申请材料),强调“让受害者完成一次解压”即可触发越界写入与持久化落点,显著降低了传统“必须运行可执行文件”的心理门槛。
(2)乌相关战场:多组织复用同一“启动目录落点”范式Google Threat Intelligence Group 指出,多个俄关联威胁主体持续在针对乌军事与政府实体的行动中利用该漏洞:
- APT44:利用漏洞投递诱饵文件并写入恶意 LNK,推动二阶段下载。
- Turla:采用该漏洞投递其工具/恶意软件体系(公开报告中提及 STOCKSTAY恶意软件 相关投递)。
- TEMP.Armageddon(喀尔巴阡山脉):该攻击者同样以乌政府机构为目标,使用 RAR 压缩包将 HTA 文件投放到启动文件夹中。HTA 文件充当第二阶段的下载器。初始下载器通常包含在一个 HTML 文件内。此活动持续到 2026 年 1 月。
这类行动的共同点是:“压缩包—解压—Startup 目录持久化—二阶段加载”,把一次文件处理行为转换成稳定的驻留入口。
(3)Paper Werewolf(GOFFEE):区域性关键基础设施场景的跟进利用BI.ZONE 报告显示,Paper Werewolf 在 2025 年 7 月针对俄组织的钓鱼行动中,将 CVE-2025-6218 与“当时尚未分配 CVE 的类似零日(后续对应 CVE-2025-8088)”结合使用,并强调品牌/监管机构冒充以提升点击与解压率。
总结:该漏洞之所以被 APT 偏好,在于它把“初始访问”与“持久化落点”在一次用户动作中耦合,且落点是 Windows 默认机制(Startup/LNK)而非高噪声的提权或高风险脚本执行路径。
3.漏洞应用技战术分析
(1) 关键技术机制:Path Traversal × ADS 的复合利用该漏洞的核心不在传统意义的“内存破坏”,而在 解压路径校验/规范化不足:当归档条目同时包含 ADS(Alternate Data Streams,备用数据流) 语法(filename:streamname)与路径遍历片段时,WinRAR 在处理(或显示)条目与实际落盘路径之间产生偏差,导致攻击者能够将隐藏载荷写入用户未授权/未预期目录。
ADS 在这里的价值是“隐蔽载荷容器”:受害者往往只能注意到诱饵文件(如 PDF),而真正的 LNK/脚本载荷被封装在诱饵文件的 ADS 中;再通过路径遍历把该 ADS 载荷精准写入 Startup 目录,实现下次登录自动触发。
下图为安天分析CVE-2025-8088漏洞利用,发现目标人员只能看到一个诱饵文件,真正的恶意程序以NTFS备用数据流附加在诱饵文件上,攻击者还会通过伪造无效的NTFS备用数据流路径以掩盖真正的释放载荷失败的警告。此外,攻击者将名为“WinRunApp.exe”的目标载荷写入%LocalAppData%目录,并在Windows自启动目录创建一个启动目标载荷的快捷方式(LNK文件)以实现载荷落地和持久化。
在 Windows API 层面,可以通过标准文件操作函数访问 ADS,只需在文件路径后附加冒号和流名称。例如,使用 CreateFile 函数打开名为 “example.txt:hidden” 的备用数据流。备用数据流不会在标准文件浏览器中显示,也不会影响文件大小的报告,这使其成为隐藏数据的理想选择。
HANDLE hFile =CreateFile(L"example.txt:hidden",GENERIC_WRITE,0,NULL,OPEN_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);
奇安信威胁情报中心分析如下,推荐大家学习。
(2)典型攻击链(概念化拆解)结合 Google Threat Intelligence Group 与 安天 的描述,可将“实战链路”抽象为以下阶段(不涉及可操作 PoC 细节,仅做防御分析):
- 投递与社会工程:鱼叉邮件附件为恶意 RAR(常伪装为简历、通知、业务资料)。
- 用户交互触发:用户打开/解压压缩包(UI:R 的典型形态)。
- 越界写入:漏洞触发后,载荷被写入 Startup 等敏感目录。
- 持久化建立:常见为 Startup 中的 LNK(快捷方式)作为入口。
- 二阶段执行/加载:LNK 引导执行系统组件或合法进程加载恶意 DLL/脚本,下载后续模块并建立 C2。
- 目标行动:信息窃取、凭证收集、横向移动、长期驻留等。
(3) 映射到 MITRE ATT&CK(以防御视角组织)以下为“可观测—可检测”的技战术映射(用来指导告警规则与威胁狩猎):
- 初始访问:Spearphishing Attachment(T1566.001)——邮件附件为 RAR。
- 执行触发:User Execution(T1204)——“解压/打开压缩包”成为触发点。
- 客户端漏洞利用:Exploitation for Client Execution(T1203)——利用解压逻辑缺陷实现越界写入。
- 持久化:Startup Folder(常见映射为 T1547.001)/ Shortcut 相关持久化(LNK 作为入口)。
- 防御规避:利用 ADS 隐藏、制造大量“无效路径/告警噪声”降低人工审查效率(多份报告提到该思路)。
- 命令与控制/载荷投放:二阶段后门与下载器(不同组织载荷不同,如 SnipBot/RustyClaw/Mythic agent 等)。
4.漏洞影响及防御
(1)影响评估(Why it matters)
- 低门槛高后果:一次解压即可把载荷写入启动目录,形成“重启即执行”的隐蔽持久化。
- 补丁覆盖滞后放大风险:WinRAR 无自动更新导致“已修复但仍被广泛利用”的 n-day 长尾。
- 合规压力:被纳入 CISA KEV(2025-08-12 加入,联邦截止 2025-09-02),反映其现实危害与利用确定性。
(2) 防御建议(优先级从高到低)
A. 立刻修复(最高优先级)
- 升级到 WinRAR 7.13 或更高版本(Windows 端及相关 UnRAR 组件)。
- 资产侧建议:基于软件清单对 7.12 及以下版本做全网排查与强制升级(含便携版/UnRAR.dll 依赖的第三方程序)。
B. 暂缓措施(无法立即升级时)
- 邮件网关与下载策略:对来自外部的 RAR/自解压包附件提升拦截与隔离等级;对“简历/应聘/合同/招标”等高频诱饵主题实施更严格的沙箱与内容拆解。
- 终端策略:限制普通用户对 Startup 目录的异常写入行为;对新建 LNK 的落点、指向路径、命令行参数进行策略审计。
C. 检测与狩猎(把攻击链“拉亮”)
- 关键目录监控,与 WinRAR 解压行为时间相关联的文件落点异常(用户指定目录之外出现写入)。
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ 下 新建/修改 LNK
参考文献:
- [1] 安天集团. 反病毒引擎+驱动级主防,拦截WinRAR高危漏洞[EB/OL]. https://www.antiy.com/response/CVE-2025-8088.html
- [2] 奇安信威胁情报中心. WinRAR最新0day漏洞攻击活动分析及总结[EB/OL]. https://www.secrss.com/articles/81926
- [3] 奇安信威胁情报中心. WinRAR 零日漏洞被又一个APT组织积极利用:纸狼人(Paper Werewolf)攻击活动深度分析[EB/OL]. https://mp.weixin.qq.com/s/B06EncEjn8iulfvGakFW5w
- [4] Google Threat Intelligence Group. Diverse Threat Actors Exploiting Critical WinRAR Vulnerability CVE-2025-8088[EB/OL]. https://cloud.google.com/blog/topics/threat-intelligence/exploiting-critical-winrar-vulnerability
- [5] ESET. ESET Research: Russian RomCom group exploits new vulnerability, targets companies in Europe and Canada[EB/OL]. https://www.eset.com/us/about/newsroom/research/eset-research-russian-romcom-group-exploits-new-vulnerability-targets-companies-in-europe-and-canada
- [6] WinRAR. https://www.win-rar.com/singlenewsview.html
二.CVE-2025-6218 路径穿越漏洞
1.漏洞概述
CVE-2025-6218 是影响 Windows 平台 WinRAR 的路径遍历(Path Traversal)漏洞,攻击者可通过构造包含恶意路径的压缩文件,诱导受害者打开或解压后,将文件释放到用户未预期的目录(如系统自启动目录),从而在“当前用户权限上下文”下触发任意代码执行或建立持久化。该漏洞的关键风险并非源于“解压即执行”的传统误区,而是源于解压动作引发的越界写入:攻击链往往以“落地到敏感目录 + 登录/重启后自动触发”为核心路径,具有较强隐蔽性与社会工程学适配性。
| |
|---|
| |
| 路径遍历 / 目录穿越(Path Traversal) |
| |
| WinRAR 7.11 及更早版本(已由 7.12 修复) |
| |
| |
| CVSS 7.8(多家安全报道引用)(The Hacker News) |
| Zero Day Initiative 提交/披露并进入 NVD 记录 |
| |
2.利用组织
(1) 以“纸狼人(Paper Werewolf/GOFFEE)”为代表的定向钓鱼利用来自 BI.ZONE 的观测显示,Paper Werewolf (GOFFEE) 在针对俄及独联体关键基础设施的鱼叉式钓鱼活动中,将恶意 RAR 附件作为主要投递载体,并结合 WinRAR 路径遍历缺陷实现越界写入与后续执行链条。此类活动强调“目标画像驱动”的社会工程:邮件伪装成研究机构、市政管理、能源电网等业务语境,提高受害者解压附件的概率。
(2) 多组织并行利用:从 APT 到机会主义攻击的扩散在 CISA 将 CVE-2025-6218 纳入已知被利用漏洞目录(KEV)后,安全社区进一步披露多个威胁组织对该漏洞的在野利用迹象。公开报道点名包括 Bitter、Gamaredon,显示该漏洞已具备“跨组织复用”的成熟度:一旦利用链稳定、诱饵素材可规模化生产,漏洞将快速从定向攻击外溢到更广泛的钓鱼与投递生态。
注:部分材料也将 RomCom 与 WinRAR 路径遍历攻击活动并列讨论(尤其在相近时间段的 WinRAR 漏洞语境中)。在写作与溯源实践中,建议将“组织-样本-漏洞”的证据链拆分核验,避免将相邻漏洞的利用活动混同为同一 CVE 的确定性归因。
3.漏洞应用技战术分析
本节以 MITRE ATT&CK 的战术—技术框架为参照,对 CVE-2025-6218 的典型武器化过程进行“可复现的分析性描述”(不包含可操作的利用细节或 PoC 指令)。
(1) 初始访问(Initial Access):鱼叉式钓鱼附件作为高成功率入口
- 投递媒介:电子邮件附件(RAR/ZIP 等压缩包),常搭配“简历、通知、监管文件、招标材料”等高点击/高解压场景。
- 关键机制:攻击者将“看似正常的文档/图片”作为诱饵文件,并在压缩包的路径字段中植入可触发目录穿越的构造,使解压动作成为后续落地的触发器。
(2) 执行前置条件(User Interaction):将“解压”转化为安全边界穿透与宏文档或脚本型载荷不同,CVE-2025-6218 的优势在于:
- 攻击者借此降低受害者对“越界写入”的警惕,从而把 exploit 成功率绑定到日常操作习惯之上。
(3) 防御规避(Defense Evasion)与投递隐蔽:以“路径异常”替代“恶意可执行体显性落地”典型防御绕过思路并非一定依赖复杂免杀,而是利用两点:
- 落地位置异常(文件被写入自启动目录、用户配置目录等),而这类异常在缺乏“解压落地审计”的环境中不易被直观发现。
(4) 持久化(Persistence):以“启动项/自启动目录”作为低门槛驻留点漏洞的核心危害常通过“写入可在登录/重启后触发的位置”来体现:
- 一旦攻击者能够将文件越界写入启动目录或相关自动加载位置,就可在后续系统事件(用户登录、系统重启、计划任务触发等)中实现执行。
- 由于执行发生在“时间上后移”的阶段,取证时易与最初解压动作脱钩,增加溯源与关联分析难度。
(5) 后渗透(Post-Exploitation):从单点失陷到横向与数据目标公开的漏洞描述通常将影响界定为“当前用户权限下执行代码”。在实战中,这往往意味着:
- 若终端用户具备高权限或可触达敏感凭据,则可能引发进一步的凭证访问、内部侦察、横向移动与数据外传;
- 对企业而言,风险不只在“单机执行”,而在“攻击链被成功接通后”的持续性威胁面扩张。
4.漏洞复现
利用条件是需要WinRAR 安装在默认位置:C:\Program Files\WinRAR\WinRAR.exe(或已知WinRAR的安装目录),目标用户访问恶意网页或解压缩恶意压缩文件。
使用CVE-2025-6218的POC生成恶意压缩包文件:
- https://github.com/skimask1690/CVE-2025-6218-POC
恶意压缩文件的构造代码会将其写入CVE-2025-6218.bat中,关键代码如下所示:
@echo offtitle CVE-2025-6218POCecho calc.exe >POC.bat"C:\Program Files\WinRAR\WinRAR.exe" a -ap" \.. \.. \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\" CVE-2025-6218.zip POC.batecho.if errorlevel 1( echo [!] Failed to create POC.)else( echo [+]CVE-2025-6218.zip created successfully!)echo.del POC.batpause
核心代码是将被打包的恶意文件构造到恶意压缩包中,一定要注意多层目录,其根据当前bat的目录位置决定数量。
"C:\Program Files\WinRAR\WinRAR.exe" a -ap" \.. \.. \..\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\" %~dp0CVE-2025-6218.zip POC.bat//a 代表添加文件到压缩包//-ap 设置压缩包内的相对路径(就在这里尝试路径穿越)//%~dp0 代表当前脚本所在的路径//Poc.bat 需要被打包的恶意文件
恶意的压缩包生成的运行效果如下图所示:
随后将上传到我们的目标机器后,用WinRAR进行解压缩,最终目录如下,自启动目录生成了Poc.bat文件。
- C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\POC.bat
当计算机重启后,就会执行所被打包的恶意文件并进行远程命令执行。
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。本文只用作技术分析和学习,任何利用本文内容进行非法攻击的行为均与作者无关!
5.漏洞影响及防御
(1) 影响评估要点
- 资产层面:WinRAR 在个人与企业终端中普及率高,且常与邮件网关、协作传输、供应链文件交换强绑定。
- 攻防不对称:攻击者成本低(构造恶意压缩文件并钓鱼投递),防守方成本高(补丁覆盖、终端行为审计、用户教育、邮件安全)。
- 在野利用确认:进入 CISA KEV 目录意味着其具备明确的现实利用证据,组织侧应以“已被武器化”处理优先级。
(2) 防御建议(按优先级)
A. 补丁与版本治理(最高优先级)
- 立即将 WinRAR 升级至 7.12 或更高版本,并对资产清单中“压缩软件”进行统一纳管与版本基线约束。
B. 邮件与文件投递面治理(降低初始访问成功率)
- 在邮件网关侧对 RAR/ZIP 附件启用更严格的内容检测与隔离策略(含沙箱、内容重构、阻断高风险压缩附件策略)。
- 对来自外部来源的压缩包实施“先隔离后解压”的流程化制度(尤其是简历投递、供应商文件、项目招投标材料等场景)。
C. 终端侧行为监测(把“解压越界写入”变成可观测事件)
- 在 EDR/Sysmon 等终端遥测中强化规则:监测解压进程写入启动目录、用户配置目录、系统关键目录的异常行为;
- 建议将“归档工具进程 → 敏感目录写入”作为高置信检测逻辑,与后续可疑进程启动、注册表自启项变化进行关联分析。
D. 用户侧安全教育(针对“解压即安全”的认知偏差)
- 将“未知来源压缩包解压”纳入钓鱼演练与培训重点,强调压缩软件同样属于攻击面。
参考文献:
- [1] 奇安信威胁情报中心. WinRAR 零日漏洞被又一个APT组织积极利用:纸狼人(Paper Werewolf)攻击活动深度分析[EB/OL]. https://mp.weixin.qq.com/s/B06EncEjn8iulfvGakFW5w
- [2] NIST. CVE-2025-6218 Detail[EB/OL]. https://nvd.nist.gov/vuln/detail/CVE-2025-6218
- [3] The hacker News. Warning: WinRAR Vulnerability CVE-2025-6218 Under Active Attack by Multiple Threat Groups[EB/OL]. https://thehackernews.com/2025/12/warning-winrar-vulnerability-cve-2025.html
- [4] CurlySean. WinRAR目录遍历远程代码执行[EB/OL]. https://www.freebuf.com/articles/vuls/437357.html
- [5] 信安百科. 【漏洞复现】CVE-2025-6218|WinRAR目录遍历远程代码执行漏洞[EB/OL]. https://blog.csdn.net/xinanbaike/article/details/149480670
三.CVE-2023-38831 逻辑缺陷任意代码执行漏洞
1.漏洞概述
CVE-2023-38831 是一个影响 RARLAB WinRAR 6.23 之前版本的高危代码执行漏洞。其本质并非传统内存破坏,而是由逻辑缺陷 + Windows ShellExecute 路径解析“尾部空格”特性叠加导致:攻击者可构造包含“同名文件 + 同名文件夹”的特制 ZIP(或伪装压缩包),诱导用户在 WinRAR 图形界面中双击一个看似无害的图片/文档,进而触发压缩包内隐藏脚本(如 .cmd/.bat)被释放并执行,实现任意代码执行。NVD 明确指出该漏洞在 2023 年 4–10 月期间被在野利用。
| |
|---|
| |
| |
| |
| WinRAR < 6.23 |
| 7.8(HIGH),AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| 需要用户交互(在 WinRAR 中“查看/打开”诱饵文件) |
| WinRAR 6.23 修复“在特制压缩包中双击启动错误文件”的问题(RARLAB 更新日志) |
| 已确认(早期由网络犯罪团伙,后被 APT 组织利用) |
| |
2.利用组织
该漏洞的扩散路径呈现典型规律:先被网络犯罪团伙武器化 → PoC/生成器公开后 → APT 快速接入并定制投递链。
(1) 网络犯罪团伙:面向金融交易者的“压缩包投递”链路Group-IB 与媒体报道指出,该漏洞至少自 2023 年 4 月起已被用于针对金融交易者的攻击活动,用于投递多种常见恶意软件家族(如 DarkMe、GuLoader、Remcos RAT 等),实现账户劫持与后续窃密。
(2)政府背景/国家行为体:Google TAG 观测到多起 APT 利用Google Threat Analysis Group(TAG)在 2023-10-18 的通告中明确指出:多支政府背景攻击组织在行动中利用 CVE-2023-38831。 其中具代表性的两类实战样式为:
- FROZENLAKE(与 APT28 关联):TAG 提及 CERT-UA 于 2023-09-04 披露其利用该漏洞向乌目标投递恶意载荷,面向能源等关键基础设施场景,体现“定向诱饵 + 链路检查 + 分阶段投递”的典型 APT 工程化特征。
下图展示了FROZENBARENTS 冒充乌无人机培训学校投放 Rhadamanthys 信息窃取器,该组织隶属于俄武装部队总参谋部情报总局(GRU)74455部队。该电子邮件以邀请加入学校为诱饵,其中包含一个指向匿名文件共享服务 fex[.]net 的链接,该链接提供了一个看似无害的诱饵 PDF 文档,其中包含无人机操作员培训课程,以及一个名为“Навчальна-програма-Оператори.zip”(培训程序操作员)的恶意 ZIP 文件,该文件利用了 CVE-2023-38831 漏洞。在“Навчальна-програма-Оператори.pdf /Навчальна-програма-Оператори.pdf_.bat”中发现的有效载荷是一个打包好的Rhadamanthys信息窃取程序。Rhadamanthys是一种常见的信息窃取程序,能够收集并窃取浏览器凭证和会话信息等。它采用订阅模式,30天的租用价格低至250美元。FROZENBARENTS使用这种通常被网络犯罪分子使用的商用信息窃取程序并不常见。
这些案例共同说明:CVE-2023-38831 的价值不在“0day 稀缺性”,而在于它能把 用户最习惯的动作(打开压缩包里的一张图/一份 PDF) 转化为执行入口,极适合作为“鱼叉钓鱼投递器”的通用组件
3.漏洞应用技战术分析
这一部分建议以“攻击链”视角理解:CVE-2023-38831 并非单点执行,而是围绕 “压缩包结构欺骗 → 临时目录释放 → ShellExecute 执行偏转” 构成可复用的战术模块。
(1) 关键技术机理 A:同名文件/文件夹导致“额外释放”TAG 的机制描述指出:当用户在 WinRAR UI 双击一个“良性文件”时,WinRAR 会遍历归档条目,决定哪些对象需要被解压到临时目录;由于匹配逻辑缺陷,若归档中存在与被点击文件同名的目录,则该目录内的内容也会被一并解压到临时目录根路径。
这一步在 ATT&CK 上更贴近伪装/欺骗执行入口:攻击者让用户“以为只打开了图片/文档”,实际却触发了额外可执行内容的落地。
(2) 关键技术机理 B:ShellExecute 对“扩展名尾部空格”的处理差异CVE-2023-38831 的可利用性还依赖 Windows ShellExecute 对带空格扩展名路径的特殊处理:当 WinRAR 试图执行临时目录中的“良性文件”路径时,路径解析的细节差异会导致系统转而匹配并执行同路径下的脚本类文件(.cmd/.bat 等)。TAG 将其概括为:WinRAR 的逻辑缺陷与 Windows ShellExecute 的“扩展名含空格”特性叠加,从而实现任意代码执行。
WinRAR在释放目标文件后会使用ShellExecuteExW执行目标文件,该Windows API会对传入的文件路径进行处理,包括使用PathFindExtensionW提取目标文件路径的扩展名。
- PathFindExtensionW能对传入的文件路径字符串进行处理,返回文件扩展名所在位置的指针。
- PathFindExtensionW返回空字符串后,函数CShellExecute::_PerformantBindCtx会调用一个函数在字符串末尾拼接通配符“.*”并查找当前路径下满足条件的文件。该通配符的匹配顺序依次为“.pif”、“.com”、“.exe”、“.bat”、“.lnk”、“.cmd”,成功匹配到一个时函数返回。
WinRAR 在写入文件内容时会执行路径规范化,删除附加的空格,因为Windows 不允许文件末尾带有空格。WinRAR 调用ShellExecuteExW,传递一个带有尾随空格的非规范化路径“%TEMP%{random_directory}\poc.png_”,以运行用户选择的文件。在内部,ShellExecute 通过调用“shell32!PathFindExtension”来识别文件扩展名,但由于扩展名中包含空格被视为无效,因此该操作失败。ShellExecute 没有中止,而是继续调用“shell32!ApplyDefaultExts”,该函数遍历目录中的所有文件,查找并执行第一个扩展名与以下硬编码扩展名之一匹配的文件:“.pif、.com、.exe、.bat、.lnk、.cmd”。ShellExecute 的这个功能导致在尝试打开扩展名包含空格的文件时应用默认的扩展名搜索逻辑,从而导致“poc.png_.cmd”被选中并意外运行,即使它并不是用户最初双击的文件。
(3)型攻击链条(工程化视角)结合 TAG 与 NVD 的描述,可抽象出较稳定的战术流程:
- 初始投递(Initial Access):钓鱼邮件/社交平台/云盘链接投递 ZIP/RAR(常带诱饵主题:合同、简历、培训资料、涉政/涉战热点等)。
- 用户执行(Execution, User Interaction):受害者在 WinRAR 内双击诱饵文件(png/jpg/pdf 等)。
- 临时目录落地(Defense Evasion / Execution Preparation):同名目录内脚本被一并释放到临时目录。
- 执行偏转(Execution):ShellExecute 路径处理导致脚本/载荷先于诱饵被执行。
- 后渗透(Post-Exploitation):下载器/RAT/侧载组件运行,完成信息窃取、横向移动、持久化与 C2 通信(TAG 案例中出现 LNK、侧载、Run 键、云 API C2 等组合)。
防守侧的重点启示:此漏洞把“文件预览/打开”变成执行入口,传统基于“宏/脚本”单点拦截可能不足,需要将压缩包作为高风险容器,纳入内容拆解与行为联动检测体系。
钓鱼邮件含Dropbox链接,指向ZIP包,内含CVE-2023-38831漏洞利用程序、密码保护的诱饵PDF和LNK文件。ISLANDSTAGER启动合法的“ImagingDevices.exe”进程,从“%ProgramData%\Microsoft\DeviceSync\”侧载恶意“STI.dll”,并通过注册表“CurrentVersion\Run”实现持久化。随后解码多层shellcode,最终由Donut生成的shellcode在内存中加载并执行.NET后门BOXRAT。BOXRAT以Dropbox API为C2机制。
4.漏洞复现
出于安全边界,复现仅给出概念性流程:准备易受影响的 WinRAR 版本(<6.23),构造一个特制 ZIP/RAR,使其同时包含一个“诱饵文件”(例如 test.pdf )以及一个同名目录(例如 test.pdf 目录)并在该目录内放置脚本(.cmd/.bat)。当在 WinRAR 界面双击诱饵文件时,即可能触发脚本先于诱饵被执行。该机理与可用 PoC 在 Google 的 0day RCA 中已有引用。
当用户在 WinRAR 用户界面中双击无害的“poc.png_”(下划线表示空格)时,6.23 之前的 WinRAR 版本将执行“poc.png_/poc.png_.cmd”。用户双击文件后,WinRAR 会遍历所有压缩文件条目,以确定哪些文件需要临时解压。然而,由于匹配机制的缘故,如果找到与所选条目同名的目录,则所选文件以及匹配目录中的所有文件都会被解压到随机临时目录的根目录。
PoC/生成器 GitHub(公开资源):
- https://github.com/b1tg/CVE-2023-38831-winrar-exploit
演示效果如下所示:
5.漏洞影响及防御
(1)风险影响:面向终端与邮件体系的“高性价比投递器”
- 用户侧风险:只要存在 WinRAR <6.23 且用户习惯在 WinRAR 中直接打开压缩包内文件,即可能被利用执行任意代码,造成窃密、远控、勒索前置渗透等后果。
- 组织侧风险:该漏洞与钓鱼链结合,易被用于绕过“文档宏”类规则,且可快速规模化用于特定行业(金融交易、关键基础设施、政府与国防承包等)定向攻击。进入 CISA KEV 目录意味着其被确认在野利用且具备显著现实危害,需要加速修补与缓解。
(2) 防御与缓解:补丁优先 + 体系化检测
- 立即升级:将 WinRAR 升级到 6.23 或更高版本;RARLAB 更新日志明确修复了“在特制压缩包中双击启动错误文件”的问题。
- 使用替代策略降低触发面:在组织策略上禁止“在压缩软件界面内直接打开文件”,改为先解压到受控目录,再由受信任查看器打开,并对解压目录启用应用控制/脚本限制策略。
- 邮件与网关侧内容拆解:对入站附件 ZIP/RAR 进行结构化拆解与规则检测,重点检查“同名文件+目录”“尾随空格扩展名”“目录中脚本文件”等异常模式;将压缩包投递与后续脚本执行行为进行关联告警。
- 终端侧行为检测(EDR):重点监控 WinRAR 子进程链(尤其是 cmd.exe/powershell.exe/wscript.exe/rundll32.exe 等)以及临时目录异常脚本执行;对“打开图片/文档却产生脚本执行”的行为建立高置信规则。
- 威胁情报联动:参考 TAG 披露的 IOC、投递链特点(云盘链接、诱饵主题、LNK/侧载/Run 键等),将其纳入 SOC 检测用例库与狩猎规则。
参考文献:
- [1] NIST. CVE-2023-38831 Detail[EB/OL]. https://nvd.nist.gov/vuln/detail/CVE-2023-38831
- [2] Google TAG. Government-backed actors exploiting WinRAR vulnerability[EB/OL]. https://blog.google/threat-analysis-group/government-backed-actors-exploiting-winrar-vulnerability/
- [3] Google 0day RCA(CVE-2023-38831 根因分析与 PoC 引用)[EB/OL]. https://googleprojectzero.github.io/0days-in-the-wild/0day-RCAs/2023/CVE-2023-38831.html
- [4] WIN哥学安全. CVE-2023-38831:WinRAR远程代码执行漏洞[EB/OL]. https://mp.weixin.qq.com/s/RKLoyZnLFcpMs3OJawLgpg
- [5] 白泽安全实验室. WinRAR或成APT组织“得力攻击武器”?[EB/OL]. https://mp.weixin.qq.com/s/zc3wb0QnL3HN1D_ks4_4cg
- [6] 奇安信CERT. RARLAB WinRAR代码执行漏洞(CVE-2023-38831)安全风险通告第二次更新[EB/OL]. https://mp.weixin.qq.com/s/wmmE1TfNb8bYw0nCJI9saA
四.CVE-2023-40477 缓冲区越界访问漏洞
1.漏洞概述
CVE-2023-40477 是影响 Windows 平台 WinRAR 的高危代码执行漏洞。其根因位于 RAR 恢复卷(recovery volume / recovery record)处理流程:对归档中由用户提供的数据缺乏充分验证,可能导致对缓冲区边界之外的内存访问(越界读写),在当前进程上下文中触发任意代码执行。该漏洞由 Trend Micro Zero Day Initiative (ZDI) 研究员报告给厂商,RARLAB 在 WinRAR 6.23 中完成修复。利用前提为用户交互(如打开恶意压缩文件)
| |
|---|
| |
| |
| |
| |
| |
| |
| 由 ZDI 报告,RARLAB 在 6.23 修复 |
| |
| |
2.利用组织
与“逻辑欺骗型”压缩包漏洞不同,CVE-2023-40477 属于内存破坏类,理论上可被武器化为稳定的客户端 RCE 触发器。然而,公开材料对具体 APT 组织名称与大规模在野利用证据的披露相对有限;主流报道更多强调其高价值攻击面(WinRAR 庞大装机量、邮件/下载场景普遍)与可被社会工程链路无缝整合的属性。
从攻防工程角度推断,其更可能被纳入以下两类行动范式:
- 定向鱼叉钓鱼:将恶意 RAR 作为附件或云盘链接,诱导目标打开;与“行业语境诱饵”(合同、简历、培训资料)结合,提高打开概率。
- 社工钓鱼投递:在论坛/资源站分发“资源包”,利用用户下载—解压习惯触发漏洞。
3.漏洞应用技战术分析
(1) 机制层:恢复卷处理中的边界检查缺失RAR 恢复卷用于校验与修复归档数据完整性。CVE-2023-40477 指向该处理路径中对用户可控数据的验证不足,导致在解析/计算过程中访问越界内存。若攻击者精心布局数据结构与长度字段,可在异常路径上实现指针劫持或数据破坏,最终控制执行流(取决于具体内存布局与保护机制)。
(2) 触发面:将“打开压缩包”转化为执行入口与常见文档宏不同,本漏洞的用户动作门槛低:只需打开或处理恶意 RAR。该特性使其易嵌入“看似只读”的工作流(预览/校验/解压前检查),降低心理防线。典型攻击链如下:
- 用户交互:受害者在本地使用 WinRAR 打开或处理归档(触发恢复卷解析)。
- 后续阶段:下载器或内存驻留载荷拉起 C2、执行信息窃取/横向移动等。
4.漏洞影响及防御
(1) 防御规避与可检测点
- 规避侧:攻击者可将 RAR 外观与诱饵内容做强一致性包装,降低用户怀疑。
- 检测侧:终端 EDR 关注 WinRAR 进程异常崩溃前后的子进程/可疑模块加载、RAR 打开事件与网络出站行为的时间相关性。
(2)影响评估
- 资产暴露面大:WinRAR 长期作为默认解压工具存在于终端与运维环境。
- 后果严重:一旦执行成功,权限继承当前用户上下文,可能演进为凭证窃取与横向移动。
(3)分层防御建议
- 补丁优先:统一升级至 WinRAR 6.23 或更高版本(厂商已修复)。
- 最小化攻击面:在不需要高级功能的场景,评估使用操作系统原生解压能力,减少第三方解析面。
- 邮件与下载治理:对入站 RAR 启用沙箱与内容重构(CDR)策略;限制未知来源压缩包直接在终端打开。
- 终端检测:为 WinRAR 进程建立“打开归档 → 异常子进程/脚本解释器/网络连接”的关联告警。
- 用户教育:将“压缩包同样是可执行风险容器”的观念纳入安全培训。
参考文献:
- [1] 看雪学苑. WinRAR解压缩软件存在漏洞,允许黑客执行任意代码[EB/OL]. https://mp.weixin.qq.com/s/_46HXcc4W-afiDRkw3JgdA
- [2] 潇湘信安. CVE-2023-40477!WinRAR代码执行漏洞[EB/OL]. https://mp.weixin.qq.com/s/fOaU-UvMEFVkYCNUiHzmow
- [3] 奇安信红雨滴团队. 红雨滴云沙箱:破解“压缩包+LNK”障眼法[EB/OL]. https://mp.weixin.qq.com/s/iAHyPMKyAXpLmvbBGnAo7A
五.CVE-2018-20250 路径穿越漏洞
1.漏洞概述
CVE-2018-20250 是 WinRAR(以及部分采用相同 ACE 解压组件的压缩软件)中一个典型的“路径穿越(Path Traversal)/任意文件写入(Arbitrary File Write)”漏洞:攻击者可构造恶意 ACE 压缩包,使解压过程在未充分校验目标路径的情况下,将文件写入受害者系统的敏感位置(尤其是 Windows 启动目录 Startup Folder),从而在用户下次登录/重启时触发恶意程序执行,实现持久化控制与后续投递。该问题的根源与 WinRAR 长期内置、且较陈旧的 UNACEV2.DLL(ACE 解压动态库)处理文件名/路径时的校验缺陷有关。
| |
|---|
| |
| 路径穿越 / 任意文件写入(解压阶段)→ 可导向本地代码执行(持久化触发) |
| WinRAR 的 ACE 解压模块(UNACEV2.DLL)等 |
| 需要用户交互:下载/打开/解压恶意 ACE 文件;通常不需要额外权限(在用户上下文写入可写目录) |
| 写入 Startup Folder/用户目录等位置 → 启动自执行(持久化)→ 进一步加载木马/远控 |
| WinRAR 5.70 Beta 1 起移除 ACE 支持/删除相关组件(UNACEV2.DLL),主流建议为更新版本或移除 DLL |
| 用户基数大、邮件/网盘分发成本低、易被社会工程“伪装文档”触发,长期被恶意样本滥用 |
2.利用组织
从对抗角度看,CVE-2018-20250 之所以在真实攻击中“性价比极高”,在于它满足了 APT/准 APT 投递链的三项关键诉求:
- 初始投递隐蔽且通用压缩包附件是跨行业、跨组织最常见的文件交换介质之一,极易嵌入钓鱼邮件、论坛资源、供应链文件包等场景。
- 利用效果偏“持久化落点”该漏洞不只是“解压到不该去的目录”,更关键在于可落地到 启动项/自启动相关路径,将一次用户交互转化为后续稳定的执行机会。
- 便于与多阶段载荷拼装APT 常将恶意程序拆分为“投递器/加载器 + 主控木马 + 插件模块”,而“任意文件写入”天然适合把不同组件投到不同目录,并通过启动项或快捷方式链路建立执行。
公开安全报告显示,该漏洞披露后迅速被各类恶意活动吸收利用,并在相当长时间内持续出现在投递链中(例如用于传播远控木马、加载器等),呈现“漏洞武器化 → 大规模滥用 → 与社会工程深度融合”的典型扩散路径。
实战提醒:即便组织已修补操作系统与浏览器,“常用桌面工具”(压缩软件、Office 插件、PDF 阅读器) 仍是钓鱼链路的高频突破口;CVE-2018-20250 属于“工具型软件 + 用户交互 + 低门槛投递”的代表样本。
3.漏洞应用技战术分析
下面以“攻防对抗建模”的方式,分解该漏洞在攻击链中的关键机制(强调原理与检测点,而非武器化细节):
(1)触发面:ACE 文件作为“容器化投递载体”攻击者构造恶意 ACE 压缩包,将看似正常的文档/图片与恶意可执行内容共同封装。通过邮件附件、IM 传输、论坛资源包、网盘共享等方式扩散,诱导用户执行“解压/查看”。
防守观察点:网关对 ACE/RAR/多层压缩内容的解包扫描能力、文件魔数(magic)与扩展名一致性校验、以及“解压后落点路径异常”检测。
(2)核心缺陷:UNACEV2.DLL 路径/文件名校验不足 → 目录穿越WinRAR 依赖的 ACE 解压库在处理压缩包条目时,对路径中的特殊序列(例如上级目录穿越语义)过滤不充分,导致解压落点可被“重定向”。
- 本地存在的UNACEV2.DLL动态链接库,它就是该漏洞被利用的入口
防守观察点:端点侧监测压缩解包进程(WinRAR/解压组件)对 Startup、Run、Start Menu 等敏感目录的写入行为;或对解压输出路径进行策略约束。
(3)落点选择:以“启动项/登录自启动”实现持久化攻击者通常将恶意文件写入用户权限可写、且具备自动执行语义的路径(典型即 Startup Folder)。一旦落地成功,恶意程序即可在下次登录/重启时被系统机制触发,形成“低交互成本”的持久化。对应 ATT&CK 语义上属于 Boot or Logon Autostart Execution(例如启动项/快捷方式相关子技术)。
防守观察点:对 Startup 目录新增/修改可执行文件、脚本、快捷方式(.lnk)的审计与告警;EDR 关联“解压进程 → 写入启动目录 → 新进程/脚本执行”的因果链。
(4)后续阶段:加载器执行 → C2 建链 → 模块化扩展在 APT 场景中,落地的往往不是最终木马,而是加载器/投递器:执行后拉取主控组件、注入合法进程、建立 C2 通道并按需下发插件。因此,“压缩包漏洞”常被当作初始落点工具,真正的威胁能力来自后续多阶段框架。
防守观察点:初始触发后的一段时间窗口内,重点看:异常外联、可疑父子进程链、脚本解释器启动、系统工具滥用(LOLBins)等。
4.漏洞复现
仅用于安全研究与防护验证。请在隔离的虚拟机/靶场环境中进行。简要流程如下:
- 准备存在风险的 WinRAR 版本环境(历史版本包含 ACE 解压组件)。
- 使用公开的 PoC/脚本生成恶意 ACE/伪装压缩包,使其解压时产生路径穿越写入。
- 在受害机上执行“解压”动作,观察目标敏感目录(如 Startup Folder)出现异常文件。
- 通过重启/重新登录验证启动项触发行为,并结合进程审计/EDR 还原事件链。
打开Python运行exp.py代码,将自动生成test.rar压缩包。在当前文件夹生成了test.rar文件,将该压缩包发送给其他用户,如果目标电脑存在WinRAR漏洞,则会造成影响。当目标用户在桌面解压该文件夹,则会在电脑启动目录放入木马文件,命名为“hi.exe”。
- C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
复现 GitHub(公开 PoC 仓库)
- https://github.com/backlion/CVE-2018-20250
在WinRAR内一直点击进入目录可看到hi.exe的具体信息,如下图所示,可以看到其是ACE压缩文件。
当受害者通过WinRAR直接解压该文件便会触发该漏洞,从而释放内置的恶意程序(hi.exe)到用户windows系统的启动目录内,使得下次重启系统的时候该恶意程序能自动启动运行。Win10开机自启动如下图所示:
5.漏洞影响及防御
漏洞影响与防御:从“资产治理”到“检测响应”的分层建议如下:(1)影响评估要点
- 资产面:终端是否仍存在可处理 ACE 的 WinRAR/第三方压缩软件;是否残留 UNACEV2.DLL。
- 暴露面:邮件/网盘/论坛下载等入口是否允许 ACE 或多层压缩绕过扫描。
- 业务面:关键岗位终端(财务、人事、运维、涉密)是否更易被“文档型诱饵”命中。
(2)修复与加固
- 升级/移除 ACE 支持:更新 WinRAR 至移除 ACE 的版本线(5.70 Beta 1 起的处置策略之一是移除 ACE/相关组件)。
- 端点侧强约束:对 Startup 等自启动路径启用完整性监控(FIM)与写入告警;对压缩解包进程写入敏感目录进行拦截/隔离。
- 内容安全策略:邮件网关/下载网关对 ACE、嵌套压缩、可疑路径条目进行解包检测;必要时阻断 ACE 作为附件类型进入企业网。
- 用户交互面治理:围绕“压缩包附件”开展反钓鱼演练与提示(尤其强调:解压后出现“快捷方式/脚本/可执行文件”属于高危信号)。
(3)检测与响应建议
- 告警规则:WinRAR.exe(或压缩工具进程)对 %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ 的写入事件;以及写入后短时间内出现 .exe/.bat/.cmd/.lnk 新建。
- 溯源取证:关联“压缩包来源”(邮件头、下载 URL、网盘分享链路)与端点落地哈希;回溯同类压缩包在组织内的横向扩散范围。
- 处置动作:隔离主机、清理启动项、封禁 IOC、并对相同压缩包哈希进行全网查杀。
参考文献: 主要参考作者Eastmount多年前的博客。
- [网络安全自学篇] 三十六.WinRAR安全缺陷复现(CVE-2018-20250)及软件自启动劫持机理
六.总结
压缩包成为“低门槛高收益”的初始访问载体。 从对抗视角看,WinRAR 漏洞之所以被 APT 反复选用,并非单纯因其技术复杂度高,而在于其高度契合社会工程。附件/网盘资源包天然具有业务合理性,且“解压/预览”在用户认知中属于低风险动作。攻击者借此把一次交互转化为落地机会,降低了依赖宏、脚本或显式运行可执行文件的心理门槛,从而显著提升初始访问成功率与规模化复用效率。
核心战术范式是“越界写入 → 启动项持久化 → 二阶段加载”。 多起案例共同指向一条稳定的工程化路径:利用目录穿越将载荷写入用户未预期的敏感目录(尤其 Startup),再以 LNK/脚本建立持久化入口,最后通过下载器或侧载链路拉起二阶段后门,实现长期驻留与任务化执行。CVE-2025-8088 进一步引入 ADS 等隐蔽容器,使“可见诱饵文件”与“真实载荷”在显示与落盘层面解耦,强化了隐蔽性与误导性;而 CVE-2023-38831 则体现了“逻辑缺陷 + 系统组件行为差异”叠加带来的执行偏转风险。
防御重点应从“静态查杀”转向“版本治理 + 行为关联”。 仅依赖文件特征与单点拦截,难以覆盖压缩包漏洞驱动的多阶段链路。更有效的策略是以版本基线和组件治理为前置(强制升级、清点便携版/依赖 DLL),同时在入口侧强化压缩包内容拆解(同名文件夹、异常路径、脚本/快捷方式条目、ADS 特征),在端点侧建立因果关联检测(归档工具进程 → 敏感目录写入 → LNK/脚本触发 → 异常子进程/外联)。将“解压越界写入”显性化为可观测事件,才能把这类“低噪声投递器”纳入可持续的 SOC 运营与威胁狩猎体系。
写到这里,这篇文章就介绍完毕,时隔多年再次回到漏洞文章,希望对您有所帮助。行路难,多歧路。感谢家人的陪伴,爱你们喔!
『网络攻防和AI安全之家』目前收到了很多博友、朋友和老师的支持和点赞,并且保持每周五次更新,尤其是一些看了我文章多年的老粉,购买来感谢,真的很感动,类目。未来,我将分享更多高质量文章,更多安全干货,真心帮助到大家。虽然起步晚,但贵在坚持,像十多年如一日的博客分享那样,脚踏实地,只争朝夕。继续加油,再次感谢!
(By:Eastmount 2026-02-01 夜于火星)
前文回顾(下面的超链接可以点击喔):
10个月宝宝每天需要喝多少奶粉?
