麻豆国内精品欧美在线-麻豆国内精品久久久久久-麻豆国产在线观看一区二区-麻豆国产在线观看免费-麻豆国产原创-麻豆国产一区二区在线观看

曲速未來 披露:零日攻擊被用于目標(biāo)攻擊區(qū)塊鏈

區(qū)塊鏈安全檔案 2018-10-12 23:12
分享到:
導(dǎo)讀

曲速未來消息:近期,修補(bǔ)了CVE-2018-8453。這是卡巴斯基實(shí)驗(yàn)室8月份發(fā)現(xiàn)的win32k.sys漏洞。此漏洞于2018年8月17日被Microsoft發(fā)現(xiàn)了并確認(rèn)。

近期,修補(bǔ)了CVE-2018-8453。這是卡巴斯基實(shí)驗(yàn)室8月份發(fā)現(xiàn)的win32k.sys漏洞。此漏洞于2018年8月17日被Microsoft發(fā)現(xiàn)了.也已確認(rèn)此漏洞并將其指定為CVE-2018-8453。

在2018年8月,試圖利用Microsoft Windows操作系統(tǒng)中的漏洞被檢測到。對此案例的進(jìn)一步分析然后發(fā)現(xiàn)了win32k.sys中的零日漏洞。該漏洞由惡意軟件安裝程序的第一階段執(zhí)行,以獲得對受害者系統(tǒng)持久性的必要特權(quán)。該漏洞利用的代碼質(zhì)量很高,其目的是可靠地利用盡可能多的MS Windows版本,包括MS Windows10 RS4。

到目前為止,檢測到使用此漏洞的攻擊數(shù)量非常有限。受害者位于中東。

技術(shù)細(xì)節(jié)

CVE-2018-8453是一款免費(fèi)使用的win32kfull!xxxDestroyWindow,類似于舊漏洞-CVE-2017-0263。CVE-2017-0263最初由Sofacy APT和PostScript漏洞利用于2017年部署。

對于漏洞的技術(shù)分析,完全反向設(shè)計(jì)了所獲得的ITW漏洞利用樣本,并將其重寫為完整的概念證明。

利用此漏洞取決于從三個(gè)usermode回調(diào)函數(shù)(fnDWORD,fnNCDESTROY和fnINLPCREATESTRUCT)上設(shè)置的掛鉤執(zhí)行的一系列事件。該漏洞通過替換KernelCallbackTable中的函數(shù)指針來安裝這些鉤子:

圖2.內(nèi)核回調(diào)表中的鉤子函數(shù)

在fnINLPCREATESTRUCT鉤子中,該漏洞利用顯式為其指定位置來初始化“SysShadow”窗口:

圖3.fnINLPCREATESTRUCT上的Usermode掛鉤初始化SysShadow

處理WM_LBUTTONDOWN消息時(shí),fnDWORD掛鉤在父節(jié)點(diǎn)上執(zhí)行DestroyWindow函數(shù),這導(dǎo)致窗口被標(biāo)記為空閑并隨后由垃圾收集器釋放。

問題在于在執(zhí)行DestroyWindow函數(shù)期間執(zhí)行的fnNCDESTROY掛鉤。此掛鉤執(zhí)行NtUserSetWindowFNID系統(tǒng)調(diào)用,該調(diào)用包含一個(gè)有缺陷的邏輯,用于更改窗口的fnid狀態(tài),而不會(huì)正確檢查它是否設(shè)置為FNID_FREED。

圖4.NtUserSetWindowFNID中的易受攻擊的代碼

窗口的fnid狀態(tài)位于tagWND結(jié)構(gòu)中的偏移量0x02a處:

最初創(chuàng)建滾動(dòng)條時(shí),它的值為FNID_SCROLLBAR(0x029A)。

下圖顯示了在執(zhí)行NtUserSetWindowFNID系統(tǒng)調(diào)用之前和之后的fnid值:

圖6.在執(zhí)行NtUserSetWindowFNID系統(tǒng)調(diào)用之前和之后的滾動(dòng)條fnid

然后可以通過針對ReactOS源代碼驗(yàn)證它來檢查新的fnid值是什么:

在第一滾動(dòng)條這個(gè)動(dòng)作結(jié)果被破壞,同時(shí)系統(tǒng)仍然保持為一個(gè)參考“SysShadow”類,如滾動(dòng)條FNID不再標(biāo)記為FNID_FREED,但FNID_BUTTON代替。

為了成功回收釋放的內(nèi)存池,該漏洞包含了許多不同的風(fēng)水策略。噴涂程序取決于被利用的Windows版本,并且由于該漏洞利用了廣泛的操作系統(tǒng),它包括五個(gè)獨(dú)立的噴涂功能:

圖8.利用中支持堆噴涂程序

對于最新支持的版本(Windows 10 RS4),噴涂策略非常復(fù)雜。內(nèi)核噴涂了不同大小的位圖對象。這需要耗盡內(nèi)存分配器以最終繞過最新Windows版本中顯著改進(jìn)的低碎片堆安全緩解:

圖9.用于Windows RS4 17134的堆風(fēng)水技術(shù)

這導(dǎo)致以下內(nèi)存布局,其中USERTAG_SCROLLTRACK是釋放的池分配:

圖10.釋放滾動(dòng)條堆分配

分配另一個(gè)滾動(dòng)條時(shí),將重用SysShadow類內(nèi)存引用,但其內(nèi)容受攻擊者控制,因?yàn)獒尫诺腢sst(ffffee30044b2a10)和Gpbm(ffffee30044b2a90)池合并為一個(gè)塊:

圖11.釋放的分配與以下池合并

這導(dǎo)致使用GDI Bitmap原語的強(qiáng)大的任意內(nèi)核Read\Write,即使在最新的Windows版本上也能工作。

成功利用之后,稍微修改的令牌竊取有效負(fù)載用于將當(dāng)前進(jìn)程令牌值與SYSTEM EPROCESS結(jié)構(gòu)中的值進(jìn)行交換:

圖12.修改的令牌竊取有效載荷過程

到目前為止,當(dāng)漏洞攻擊包裝在惡意軟件安裝程序中時(shí),已經(jīng)觀察到此漏洞利用在少數(shù)目標(biāo)攻擊中。安裝程序需要系統(tǒng)特權(quán)才能安裝其有效內(nèi)容。有效載荷是一種復(fù)雜的植入物,被攻擊者用于持久訪問受害者的機(jī)器。它的一些主要特征包括:

使用帶有SMBIOS UUID的SHA-1的AES-256-CBC加密主有效負(fù)載(如果SMBIOS UUID未知,則無法在受害者以外的機(jī)器上解密有效負(fù)載)

使用Microsoft BITS(后臺(tái)智能傳輸服務(wù))與其C&C服務(wù)器進(jìn)行通信,這是一種不尋常的技術(shù)

將主要負(fù)載存儲(chǔ)在磁盤上隨機(jī)命名的文件中; 加載程序包含文件名的哈希值,并嘗試通過比較Windows目錄中所有文件的文件名哈希值來查找有效內(nèi)容

歸因

在經(jīng)過調(diào)查過程中,發(fā)現(xiàn)攻擊者使用的是PowerShell后門,以前曾見過FruityArmor APT獨(dú)家使用的后門。在這一系列新活動(dòng)與之前的FruityArmor活動(dòng)之間,C2所使用的域名也存在重疊。

結(jié)論

即使部署0天似乎比以前更頻繁,這也是已經(jīng)第二次發(fā)現(xiàn)FruityArmor使用其中一個(gè)來分發(fā)其惡意軟件。這表明了這個(gè)演員的資源和復(fù)雜性,以及其分發(fā)的高級最終賭注。

到目前為止,這場運(yùn)動(dòng)極具針對性,影響了中東地區(qū)極少數(shù)受害者,可能是襲擊者感興趣的人。然而,受害者的情況尚不清楚,特別是涉及的受害者人數(shù)如此之少。

漏洞 使用 利用 受害者 Windows
分享到:

1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。


主站蜘蛛池模板: 王淑兰李思雨李铁柱乡村小说免费 | 色偷偷91久久综合噜噜噜 | 亚洲女同一区二区 | 亚洲成年男人的天堂网 | 大又大又粗又爽女人毛片 | 脱女学小内内摸出水网站免费 | 私人影院在线免费观看 | 办公室大战秘书呻吟 | 无遮掩60分钟从头啪到尾 | sese在线播放 | 第一福利在线观看永久视频 | free service性v极品 | 黄色wwwwww| 天天操天天射天天爽 | 久久国产香蕉 | 狠狠的撞击发泄h | 免费理伦片在线观看全网站 | 国产欧美日韩精品在线 | 国产精品高清视亚洲一区二区 | 国产成人精品视频午夜 | 美国video| 亚洲色图欧美视频 | 精品精品国产yyy5857香蕉 | 久久91精品国产91久久户 | 99热最新在线观看 | 久久er国产精品免费观看2 | 国产精品特黄毛片 | 黑人双渗透 | 99热影视| 亚洲精品国产福利片 | 久青草国产在视频在线观看 | 欧美精品国产第一区二区 | 四虎在线免费 | 国产一区日韩二区欧美三区 | japan在线观看| 亚洲h片| 国产精品久久久久久久久久久久 | 456成人免费高清视频 | avav一区| 免费尤物视频 | 日本国产最新一区二区三区 |