曲速未來 披露:零日攻擊被用于目標(biāo)攻擊區(qū)塊鏈
曲速未來消息:近期,修補(bǔ)了CVE-2018-8453。這是卡巴斯基實(shí)驗(yàn)室8月份發(fā)現(xiàn)的win32k.sys漏洞。此漏洞于2018年8月17日被Microsoft發(fā)現(xiàn)了并確認(rèn)。
近期,修補(bǔ)了CVE-2018-8453。這是卡巴斯基實(shí)驗(yàn)室8月份發(fā)現(xiàn)的win32k.sys漏洞。此漏洞于2018年8月17日被Microsoft發(fā)現(xiàn)了.也已確認(rèn)此漏洞并將其指定為CVE-2018-8453。
在2018年8月,試圖利用Microsoft Windows操作系統(tǒng)中的漏洞被檢測到。對此案例的進(jìn)一步分析然后發(fā)現(xiàn)了win32k.sys中的零日漏洞。該漏洞由惡意軟件安裝程序的第一階段執(zhí)行,以獲得對受害者系統(tǒng)持久性的必要特權(quán)。該漏洞利用的代碼質(zhì)量很高,其目的是可靠地利用盡可能多的MS Windows版本,包括MS Windows10 RS4。
到目前為止,檢測到使用此漏洞的攻擊數(shù)量非常有限。受害者位于中東。
技術(shù)細(xì)節(jié)
CVE-2018-8453是一款免費(fèi)使用的win32kfull!xxxDestroyWindow,類似于舊漏洞-CVE-2017-0263。CVE-2017-0263最初由Sofacy APT和PostScript漏洞利用于2017年部署。
對于漏洞的技術(shù)分析,完全反向設(shè)計(jì)了所獲得的ITW漏洞利用樣本,并將其重寫為完整的概念證明。
利用此漏洞取決于從三個(gè)usermode回調(diào)函數(shù)(fnDWORD,fnNCDESTROY和fnINLPCREATESTRUCT)上設(shè)置的掛鉤執(zhí)行的一系列事件。該漏洞通過替換KernelCallbackTable中的函數(shù)指針來安裝這些鉤子:
圖2.內(nèi)核回調(diào)表中的鉤子函數(shù)
在fnINLPCREATESTRUCT鉤子中,該漏洞利用顯式為其指定位置來初始化“SysShadow”窗口:
圖3.fnINLPCREATESTRUCT上的Usermode掛鉤初始化SysShadow
處理WM_LBUTTONDOWN消息時(shí),fnDWORD掛鉤在父節(jié)點(diǎn)上執(zhí)行DestroyWindow函數(shù),這導(dǎo)致窗口被標(biāo)記為空閑并隨后由垃圾收集器釋放。
問題在于在執(zhí)行DestroyWindow函數(shù)期間執(zhí)行的fnNCDESTROY掛鉤。此掛鉤執(zhí)行NtUserSetWindowFNID系統(tǒng)調(diào)用,該調(diào)用包含一個(gè)有缺陷的邏輯,用于更改窗口的fnid狀態(tài),而不會(huì)正確檢查它是否設(shè)置為FNID_FREED。
圖4.NtUserSetWindowFNID中的易受攻擊的代碼
窗口的fnid狀態(tài)位于tagWND結(jié)構(gòu)中的偏移量0x02a處:
最初創(chuàng)建滾動(dòng)條時(shí),它的值為FNID_SCROLLBAR(0x029A)。
下圖顯示了在執(zhí)行NtUserSetWindowFNID系統(tǒng)調(diào)用之前和之后的fnid值:
圖6.在執(zhí)行NtUserSetWindowFNID系統(tǒng)調(diào)用之前和之后的滾動(dòng)條fnid
然后可以通過針對ReactOS源代碼驗(yàn)證它來檢查新的fnid值是什么:
在第一滾動(dòng)條這個(gè)動(dòng)作結(jié)果被破壞,同時(shí)系統(tǒng)仍然保持為一個(gè)參考“SysShadow”類,如滾動(dòng)條FNID不再標(biāo)記為FNID_FREED,但FNID_BUTTON代替。
為了成功回收釋放的內(nèi)存池,該漏洞包含了許多不同的風(fēng)水策略。噴涂程序取決于被利用的Windows版本,并且由于該漏洞利用了廣泛的操作系統(tǒng),它包括五個(gè)獨(dú)立的噴涂功能:
圖8.利用中支持堆噴涂程序
對于最新支持的版本(Windows 10 RS4),噴涂策略非常復(fù)雜。內(nèi)核噴涂了不同大小的位圖對象。這需要耗盡內(nèi)存分配器以最終繞過最新Windows版本中顯著改進(jìn)的低碎片堆安全緩解:
圖9.用于Windows RS4 17134的堆風(fēng)水技術(shù)
這導(dǎo)致以下內(nèi)存布局,其中USERTAG_SCROLLTRACK是釋放的池分配:
圖10.釋放滾動(dòng)條堆分配
分配另一個(gè)滾動(dòng)條時(shí),將重用SysShadow類內(nèi)存引用,但其內(nèi)容受攻擊者控制,因?yàn)獒尫诺腢sst(ffffee30044b2a10)和Gpbm(ffffee30044b2a90)池合并為一個(gè)塊:
圖11.釋放的分配與以下池合并
這導(dǎo)致使用GDI Bitmap原語的強(qiáng)大的任意內(nèi)核Read\Write,即使在最新的Windows版本上也能工作。
成功利用之后,稍微修改的令牌竊取有效負(fù)載用于將當(dāng)前進(jìn)程令牌值與SYSTEM EPROCESS結(jié)構(gòu)中的值進(jìn)行交換:
圖12.修改的令牌竊取有效載荷過程
到目前為止,當(dāng)漏洞攻擊包裝在惡意軟件安裝程序中時(shí),已經(jīng)觀察到此漏洞利用在少數(shù)目標(biāo)攻擊中。安裝程序需要系統(tǒng)特權(quán)才能安裝其有效內(nèi)容。有效載荷是一種復(fù)雜的植入物,被攻擊者用于持久訪問受害者的機(jī)器。它的一些主要特征包括:
使用帶有SMBIOS UUID的SHA-1的AES-256-CBC加密主有效負(fù)載(如果SMBIOS UUID未知,則無法在受害者以外的機(jī)器上解密有效負(fù)載)
使用Microsoft BITS(后臺(tái)智能傳輸服務(wù))與其C&C服務(wù)器進(jìn)行通信,這是一種不尋常的技術(shù)
將主要負(fù)載存儲(chǔ)在磁盤上隨機(jī)命名的文件中; 加載程序包含文件名的哈希值,并嘗試通過比較Windows目錄中所有文件的文件名哈希值來查找有效內(nèi)容
歸因
在經(jīng)過調(diào)查過程中,發(fā)現(xiàn)攻擊者使用的是PowerShell后門,以前曾見過FruityArmor APT獨(dú)家使用的后門。在這一系列新活動(dòng)與之前的FruityArmor活動(dòng)之間,C2所使用的域名也存在重疊。
結(jié)論
即使部署0天似乎比以前更頻繁,這也是已經(jīng)第二次發(fā)現(xiàn)FruityArmor使用其中一個(gè)來分發(fā)其惡意軟件。這表明了這個(gè)演員的資源和復(fù)雜性,以及其分發(fā)的高級最終賭注。
到目前為止,這場運(yùn)動(dòng)極具針對性,影響了中東地區(qū)極少數(shù)受害者,可能是襲擊者感興趣的人。然而,受害者的情況尚不清楚,特別是涉及的受害者人數(shù)如此之少。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
