欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

神秘APT组织利用IE和Firefox漏洞攻击中国和日本

e6e9fdb1a932f3282020-04-0542漏洞

日本国家互联网应急中心(JPCERT / CC)研究人员发现有APT组织利用今年已经修复的IE和Firefox中的2个漏洞对中国和日本发起攻击,这两个漏洞是CVE-2019-17026和CVE-2020-0674。CVE-2019-17026是Firefox浏览器中的安全漏洞,该漏洞已于今年1月发布了安全补丁。CVE-2020-0674是影响IE的安全攻击,微软已于1月修复了该安全漏洞。

攻击概述

攻击活动通过伪造的网站将用户重定向到攻击站点。

图1是受害者从访问被篡改的网站到重定向感染恶意软件的过程。

神秘APT组织利用IE和Firefox漏洞攻击中国和日本  漏洞 第1张

图1:恶意软件感染过程

受害者使用IE或Firefox浏览器访问恶意站点时,会被重定向到攻击站点后,会收到与访问的浏览器相对应的攻击代码。

图2是恶意软件根据浏览器做出决策的部分代码。

攻击活动同时针对32位和64位的操作系统,但是由于最终下载的恶意软件是为64的,所以可以理解为该攻击活动只攻击64位的操作系统。

神秘APT组织利用IE和Firefox漏洞攻击中国和日本  漏洞 第2张

图2:确定浏览器种类的JS代码

如果攻击成功,则将下载的攻击代码作为代理自动配置文件(PAC文件)。下载的攻击代码作为PAC文件执行,然后下载和执行恶意软件。

利用IE漏洞的攻击分析

图3是针对IE浏览器的部分攻击代码。

一般攻击活动下载的恶意软件的目标位置会嵌入在Shellcode中,但该攻击活动将要下载的恶意软件的URL嵌入在文件header中,研究人员分析认为这样做的目的可能是为了让修改攻击代码更加容易。

神秘APT组织利用IE和Firefox漏洞攻击中国和日本  漏洞 第3张

图3:IE 漏洞利用中的JS代码

代码执行的shellcode首先会检查其运行的进程名是否为svchost.exe。

图4是检查进程名的代码段。

神秘APT组织利用IE和Firefox漏洞攻击中国和日本  漏洞 第4张

图4:检查进程名的代码

如果进程名是svchost.exe,就下载并执行该恶意软件。如果进程名不是svchost.exe,则使用WinHttpGetProxyForUrl将攻击代码重新下载为PAC文件,如图5所示。PAC文件由svchost.exe执行,因此该恶意软件将在此时下载并执行(图6)。

你必须知道的密码学理论:随机预言模型(二)

本系列文章的译文: 你必须知道的密码学理论:随机预言模型(一) 这是关于随机预言(Random Oracle)模型系列文章的第二部分。第一篇文章请参见“第一部分: 介绍”。 在之前的那篇文章中,我承诺要解释什么是随机预言模型,更重要的是,为什么你应该关心它。 我想我已经起了一个好的开头,但是我意识到我还没有回答其中的任何一个问题。 相反,我做了很多关于哈希函数的讨论。 我描述了一个理想的哈希函数应该是什么样的,即一个随机函数。 然后我花了大部分时间解释为什么随机函数是完全不切实际的(重述一下: 存储太大,计算太慢)。 最后,我们得出了以下结论: 随机函数当然可以构成很棒的哈希函数,但不幸的是我们不能在现实生活中使用它们。 尽管如此,如果我们不能通过任何其

神秘APT组织利用IE和Firefox漏洞攻击中国和日本  漏洞 第5张

图5:下载PAC文件的部分代码

神秘APT组织利用IE和Firefox漏洞攻击中国和日本  漏洞 第6张

图6:用于下载和执行恶意软件的代码段

在下载和执行恶意软件时,在非Windows 10以的环境中,仅执行图6中的代码;在Windows 10系统中执行代码,代码同时会进行提权,如图7所示。

神秘APT组织利用IE和Firefox漏洞攻击中国和日本  漏洞 第7张

图7:权限提升的代码段

利用Firefox漏洞的攻击分析

图8是攻击Firefox浏览器的代码。

Shellcode会攻击代码重新下载为PAC文件,与图5中的代码非常相似。此时下载的代码是IE的代码,而不是Firefox的攻击代码。执行后,PAC文件的行为与攻击IE浏览器类似。

神秘APT组织利用IE和Firefox漏洞攻击中国和日本  漏洞 第8张

图8:Firefo漏洞利用中的JS代码

感染的恶意软件

攻击成功后最终安装的恶意软件为Gh0st RAT。这次使用的Gh0st RAT代码和之前泄漏的Gh0st RAT源代码大多数是相同的,具体比较如图9所示。

神秘APT组织利用IE和Firefox漏洞攻击中国和日本  漏洞 第9张

图9:恶意软件和Gh0st RAT源代码的部分比较

(左:恶意软件代码;右:之前泄漏的Gh0st RAT源代码)

恶意软件通信过程中发送的数据是以固定值“ afxcbyzt”开头的,然后使用zlib压缩要发送的数据,并将前两个字节与0x88进行XOR运算。

神秘APT组织利用IE和Firefox漏洞攻击中国和日本  漏洞 第10张

图10:恶意软件发送的数据示例

结论

该攻击活动中针对IE浏览器的攻击影响Windows 7 x64(2019年12月发布的补丁程序)和Windows 8.1 x64(2020年1月发布的补丁程序)之前的所有版本。研究人员发现在Windows 10(2020年1月发布的补丁)系统上没有感染恶意软件感染。研究人员猜测攻击活动中使用的恶意代码可能和Windows 10系统不兼容。

本文翻译自:https://blogs.jpcert.or.jp/ja/2020/04/ie_firefox_0day.html 与 https://securityaffairs.co/wordpress/100960/hacking/ie-firefox-flaws.html