曲速未來 披露:零日攻擊被用于目標攻擊區塊鏈

                  區塊鏈安全檔案 2018-10-12 23:12
                  分享到:
                  導讀

                  曲速未來消息:近期,修補了CVE-2018-8453。這是卡巴斯基實驗室8月份發現的win32k.sys漏洞。此漏洞于2018年8月17日被Microsoft發現了并確認。

                  近期,修補了CVE-2018-8453。這是卡巴斯基實驗室8月份發現的win32k.sys漏洞。此漏洞于2018年8月17日被Microsoft發現了.也已確認此漏洞并將其指定為CVE-2018-8453。

                  在2018年8月,試圖利用Microsoft Windows操作系統中的漏洞被檢測到。對此案例的進一步分析然后發現了win32k.sys中的零日漏洞。該漏洞由惡意軟件安裝程序的第一階段執行,以獲得對受害者系統持久性的必要特權。該漏洞利用的代碼質量很高,其目的是可靠地利用盡可能多的MS Windows版本,包括MS Windows10 RS4。

                  到目前為止,檢測到使用此漏洞的攻擊數量非常有限。受害者位于中東。

                  技術細節

                  CVE-2018-8453是一款免費使用的win32kfull!xxxDestroyWindow,類似于舊漏洞-CVE-2017-0263。CVE-2017-0263最初由Sofacy APT和PostScript漏洞利用于2017年部署。

                  對于漏洞的技術分析,完全反向設計了所獲得的ITW漏洞利用樣本,并將其重寫為完整的概念證明。

                  利用此漏洞取決于從三個usermode回調函數(fnDWORD,fnNCDESTROY和fnINLPCREATESTRUCT)上設置的掛鉤執行的一系列事件。該漏洞通過替換KernelCallbackTable中的函數指針來安裝這些鉤子:

                  圖2.內核回調表中的鉤子函數

                  在fnINLPCREATESTRUCT鉤子中,該漏洞利用顯式為其指定位置來初始化“SysShadow”窗口:

                  圖3.fnINLPCREATESTRUCT上的Usermode掛鉤初始化SysShadow

                  處理WM_LBUTTONDOWN消息時,fnDWORD掛鉤在父節點上執行DestroyWindow函數,這導致窗口被標記為空閑并隨后由垃圾收集器釋放。

                  問題在于在執行DestroyWindow函數期間執行的fnNCDESTROY掛鉤。此掛鉤執行NtUserSetWindowFNID系統調用,該調用包含一個有缺陷的邏輯,用于更改窗口的fnid狀態,而不會正確檢查它是否設置為FNID_FREED。

                  圖4.NtUserSetWindowFNID中的易受攻擊的代碼

                  窗口的fnid狀態位于tagWND結構中的偏移量0x02a處:

                  最初創建滾動條時,它的值為FNID_SCROLLBAR(0x029A)。

                  下圖顯示了在執行NtUserSetWindowFNID系統調用之前和之后的fnid值:

                  圖6.在執行NtUserSetWindowFNID系統調用之前和之后的滾動條fnid

                  然后可以通過針對ReactOS源代碼驗證它來檢查新的fnid值是什么:

                  在第一滾動條這個動作結果被破壞,同時系統仍然保持為一個參考“SysShadow”類,如滾動條FNID不再標記為FNID_FREED,但FNID_BUTTON代替。

                  為了成功回收釋放的內存池,該漏洞包含了許多不同的風水策略。噴涂程序取決于被利用的Windows版本,并且由于該漏洞利用了廣泛的操作系統,它包括五個獨立的噴涂功能:

                  圖8.利用中支持堆噴涂程序

                  對于最新支持的版本(Windows 10 RS4),噴涂策略非常復雜。內核噴涂了不同大小的位圖對象。這需要耗盡內存分配器以最終繞過最新Windows版本中顯著改進的低碎片堆安全緩解:

                  圖9.用于Windows RS4 17134的堆風水技術

                  這導致以下內存布局,其中USERTAG_SCROLLTRACK是釋放的池分配:

                  圖10.釋放滾動條堆分配

                  分配另一個滾動條時,將重用SysShadow類內存引用,但其內容受攻擊者控制,因為釋放的Usst(ffffee30044b2a10)和Gpbm(ffffee30044b2a90)池合并為一個塊:

                  圖11.釋放的分配與以下池合并

                  這導致使用GDI Bitmap原語的強大的任意內核Read\Write,即使在最新的Windows版本上也能工作。

                  成功利用之后,稍微修改的令牌竊取有效負載用于將當前進程令牌值與SYSTEM EPROCESS結構中的值進行交換:

                  圖12.修改的令牌竊取有效載荷過程

                  到目前為止,當漏洞攻擊包裝在惡意軟件安裝程序中時,已經觀察到此漏洞利用在少數目標攻擊中。安裝程序需要系統特權才能安裝其有效內容。有效載荷是一種復雜的植入物,被攻擊者用于持久訪問受害者的機器。它的一些主要特征包括:

                  使用帶有SMBIOS UUID的SHA-1的AES-256-CBC加密主有效負載(如果SMBIOS UUID未知,則無法在受害者以外的機器上解密有效負載)

                  使用Microsoft BITS(后臺智能傳輸服務)與其C&C服務器進行通信,這是一種不尋常的技術

                  將主要負載存儲在磁盤上隨機命名的文件中; 加載程序包含文件名的哈希值,并嘗試通過比較Windows目錄中所有文件的文件名哈希值來查找有效內容

                  歸因

                  在經過調查過程中,發現攻擊者使用的是PowerShell后門,以前曾見過FruityArmor APT獨家使用的后門。在這一系列新活動與之前的FruityArmor活動之間,C2所使用的域名也存在重疊。

                  結論

                  即使部署0天似乎比以前更頻繁,這也是已經第二次發現FruityArmor使用其中一個來分發其惡意軟件。這表明了這個演員的資源和復雜性,以及其分發的高級最終賭注。

                  到目前為止,這場運動極具針對性,影響了中東地區極少數受害者,可能是襲擊者感興趣的人。然而,受害者的情況尚不清楚,特別是涉及的受害者人數如此之少。

                  漏洞 使用 利用 受害者 Windows
                  分享到:

                  1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
                  2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
                  3.作者投稿可能會經TMT觀察網編輯修改或補充。