RomCom漏洞利用分析：CVE-2025-8088与WinRAR路径遍历攻击取证

RomCom漏洞利用分析：CVE-2025-8088与WinRAR路径遍历攻击取证

0x01 校验和

我们得到了两个文件：RomCom.zip和2025-09-02T083211_pathology_department_incidentalert.vhdx

• RomCom.zip 哈希值：6b4fefb92769b8cf106c6b13b773e5b093b67b64509d05056ee32352c788e2d0
• .vhdx 文件哈希值：cccd85ef47fd372aeb1f0f759d212dda378a8b0832bd98d4263eb6a9c7d99ee1

进行完整性校验，确保获得的是原始文件。

0x02 磁盘挂载

RomCom.zip 内部包含.vhdx文件，即Microsoft 磁盘映像扩展（VHDX）。VHDX 是 Microsoft Hyper-V 虚拟化平台使用的现代虚拟硬盘文件格式，包含元数据、文件及其他详细信息。

Linux 挂载步骤

1. 检查可用磁盘：lsblk
2. 加载 nbd 模块：sudo modprobe nbd max_part=8
3. 连接 vhdx 文件到 nbd0：
   sudo qemu-nbd --connect=/dev/nbd0 2025-09-02T083211_pathology_department_incidentalert.vhdx
4. 查看分区：lsblk显示nbd0p1分区
5. 创建挂载点并只读挂载：
   sudo mkdir /mnt/romcom
sudo mount -o ro /dev/nbd0p1 /mnt/romcom

挂载后目录中包含：

• 2025-09-02T08_32_11_5202830_CopyLog.csv（记录时间戳的Excel文件）
• System Volume Information（数据库文件）
• C目录，内含$MFT和$J文件

M F T ∗ ∗ ：主文件表，记录文件名、大小等所有元数据。 ∗ ∗ MFT**：主文件表，记录文件名、大小等所有元数据。 **MFT∗∗：主文件表，记录文件名、大小等所有元数据。∗∗J：USN 变更日志，记录文件的每一次更改。

0x03 ROMCOM 与 CVE-2025-8088

问题1：RomCom 威胁组织在 2025 年利用的 WinRAR 漏洞对应的 CVE 编号是什么？
答案：CVE-2025-8088

问题2：该漏洞的性质是什么？
答案：路径遍历（Path Traversal）

0x04 分析 $MFT 与 $J 文件

使用 Eric Zimmerman 工具集：

• MFTECmd：将 MFT 文件导出为 CSV
• Timeline Explorer：查看数据详情

提取命令示例

MFTECmd.exe -f C:\Users\Window10_Pro\Desktop\RomCom\$MFT --csv C:\Users\Window10_Pro\Desktop\RomCom

对$J文件执行相同操作。

问题3：Susan 文档文件夹中，打开时利用漏洞的压缩包文件名是什么？
在 Timeline Explorer 中过滤.rar文件，确认名称为：
答案：Pathology-Department-Research-Records.rar

问题4：该压缩包在磁盘上的创建时间是什么？
通过$J日志文件查找“File Created time”：
答案：2025-09-02 08:13:50

问题5：该压缩包被打开的时间是什么？
查找ObjectIdChange属性：
答案：2025-09-02 08:14:04

问题6：从压缩包中解压出的、用于伪装合法文件以分散用户注意力的诱饵文档名称是什么？
过滤路径.\users\susan\Documents，发现可疑文件：
答案：Genotyping_Results_B57_Positive.pdf

问题7：压缩包释放的实际后门可执行文件的名称和路径是什么？
通过相似时间戳过滤，发现可疑 exe 文件：
答案：ApbxHelper.exe（路径：.\users\susan\AppData\Roaming\Microsoft\Windows\Recent）

问题8：利用过程中还释放了哪个文件用于后门的持久化与执行？
分析$MFT发现 Startup 目录下的.lnk文件：
答案：C:\Users\Susan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Display Settings.lnk

问题9：上一个问题所涉及的 MITRE ATT&CK 技术ID是什么？
.lnk是修改后的快捷方式文件，用作后门并随系统启动执行。
答案：T1547.009
CSD0tFqvECLokhw9aBeRqqks6I8SbZ4AGpsNGryhdncX80/XWEnamoASdUOl5fxrXdXnp90sd1bs9y6OcLsxeaNsgP6C4EbbPyPpV0dzfud1FHqEEFasV8hSLw7Nbcvc
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）