Kate Li (Taiwan)的部落格

首頁

0515)用於澆水

作者 lace 時間 2020-03-29
all

四月中旬,我們發現了兩個新的主權財富基金漏洞。經過一些詳細的分析,很明顯他們沒有使用我們已經知道的任何漏洞。我們將漏洞發送給Adobe,幾天後得到確認,他們確實使用了一個0天漏洞,後來標記為CVE-2014-0515。該漏洞位於為視頻和圖像處理而設計的Pixel Bender組件中。

我們在4月14日收到了第一個漏洞的樣本,而第二個漏洞的樣本在4月16日。第一個漏洞最初是由KSN在4月9日記錄的,當時它被一個通用的啟發式簽名檢測到。隨後在4月14日和16日又多次被發現。換句話說,我們成功地用啟發式方法檢測了一個先前未知的威脅。

根據KSN的數據,這些漏洞被存儲為movie.swf和include.swf。這兩個惡意軟件之間的唯一區別是它們的外殼程式碼。應該注意的是,第二個漏洞(include.swf)沒有使用與第一個相同的啟發式簽名檢測到,因為它包含唯一的外殼程式碼。

每次攻擊都是作為一個解壓縮的flash視頻檔案出現的。裡面的操作腳本程式碼既沒有被混淆,也沒有被加密。

與此類攻擊的通常情况一樣,第一個階段是堆噴射—準備動態記憶體以利用此漏洞。利用漏洞的目的還在於檢查作業系統版本。如果檢測到Windows 8,則使用稍微修改過的Pixel Bender組件位元組碼。

易受攻擊的點數彎曲器程式碼片段(紅色框中的數據根據系統版本而更改)

反編譯的利用漏洞程式碼片段

接下來是對該漏洞的實際利用,即修改方法/虛擬函數錶中的一個索引。

有趣的是,這兩個漏洞都有兩個外殼程式碼。第一個在兩個應用程序中都是相似的;它非常短,為第二個外殼程式碼的成功運行準備了記憶體。

在WinDBG中調試的第一個外殼程式碼的片段

首先,使用API函數VirtualProtect將當前記憶體標記為讀、寫和執行,然後使用VirtualAlloc分配額外的記憶體。第二個外殼程式碼被複製到此記憶體中,並將控制權轉移到此記憶體中。API函數的初始化和控制項到第二個外殼程式碼的傳輸出現在上面螢幕截圖中的紅色框中。

漏洞攻擊的第二個外殼程式碼差別很大。

我們首先檢測到的漏洞具有標準外殼程式碼(movie.swf)。它執行對記憶體中系統庫的蒐索,然後下載並運行負載。不幸的是,在我們進行研究的時候,這個連結被證明是不活躍的。

movie.swf漏洞的第二個外殼程式碼片段,負責下載和啟動負載

在另一個漏洞(include.swf)中,第二個外殼程式碼异常。它接收flash10p.ocx的基本DLL地址,蒐索特定片段,並與Cisco MeetingPlace Express挿件版本5×0進行互動。web會議參與者使用此載入項查看演示者荧幕上的檔案和影像。需要注意的是,如果系統上不存在所需版本的Adobe Flash Player ActiveX和Cisco MPE,則利用此漏洞將不起作用。

include.swf利用漏洞的第二個外殼程式碼片段

似乎攻擊include.swf的部分資訊是從外部傳遞的。根據KSN數據,include.swf的引用指向另一個swf檔案stream.swf。同時,第一次利用漏洞的referer-movie.swf指向index.php,該index.php與該漏洞位於同一資料夾中(見下文)。由於缺少從登入頁轉發的數據和/或其他攻擊,我們無法確定攻擊的確切負載include.swf。

我們確信,所有這些技巧都是為了在不引起安全解决方案注意的情况下對非常特定的用戶組執行惡意活動而使用的。我們相信上面提到的Cisco挿件可以用於下載/實現有效負載以及直接監視受感染的電腦。

我們發現的這兩個漏洞都來自一個位於http://jpic.gov.sy/的網站。該網站早在2011年就由敘利亞司法部推出,旨在成為公民投訴違反法律和秩序行為的線上形式。我們認為,這次襲擊的目的是針對抱怨政府的敘利亞持不同政見者。

該網站在2013年9月遭到駭客攻擊,據稱駭客在其twitter帳戶上宣佈了這一消息。

這些漏洞的連結如下:http://jpic.gov.sy/css/images/\u css/********。當我們進入網站時,安裝的惡意軟件有效負載已經從“\u css”資料夾中遺失。我們假設罪犯創建了一個資料夾,其名稱在管理資源中看起來不太合適,並且他們在其中加載了漏洞。受害者可能被重定向到利用框架或腳本在網站上。到目前為止,4月28日,我們產品的檢測次數已經超過30次。他們是在7個獨特用戶的電腦上被發現的,他們都在敘利亞,考慮到網站的性質,這並不奇怪。有趣的是,所有被攻擊的用戶都是使用不同版本的Mozilla Firefox進入網站的。

很可能這次襲擊是精心策劃的,背後有相當高水准的專業人員。使用專業編寫的0天漏洞攻擊來感染單個資源就證明了這一點。

此外,雖然第一個漏洞是相當標準的,幾乎可以感染任何未受保護的電腦,但第二個漏洞(include.swf)僅在安裝了Adobe Flash Player 10 ActiveX和Cisco MeetingPlace Express外接程式的電腦上正常工作。Adobe不再支持Flash Player點數彎曲器組件,它被用作攻擊向量。作者指望開發人員在該組件中找不到漏洞,並且該漏洞將在更長時間內保持活動狀態。所有這些都表明,攻擊者並沒有將目標聚集在用戶身上。

我們通過AEP科技(如PDM:Exploit.Win32.Generic)和啟發式(如HEUR:Exploit.SWF.CVE-2014-0515.gen)檢測此類漏洞。