欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_安全预警正文

对近期出现的 IE & Firefox 浏览器的在野利用攻击分析

e6e9fdb1a932f3282020-04-1531漏洞

0x01 攻击概述

在此攻击中,受害者通过受感染的网站被重定向到攻击站点,图1显示了从受害者访问受感染站点直到被恶意软件感染为止的攻击流程。

对近期出现的 IE & Firefox 浏览器的在野利用攻击分析  漏洞 第1张

图1:攻击流程

当受害者重定向到IE或Firefox上的恶意网站时,将根据浏览器发送不同的利用代码,图2显示了检查浏览器的部分代码。尽管此攻击针对的是32位和64位操作系统,但仅在64位OS上成功,因为最终在此攻击中部署的恶意软件仅与64位OS兼容。

对近期出现的 IE & Firefox 浏览器的在野利用攻击分析  漏洞 第2张图2:用于检查受害者浏览器的JavaScript代码

如果攻击成功,则再次将漏洞利用代码作为代理自动配置文件(PAC文件)下载。该代码将作为PAC文件执行,然后下载并执行恶意软件。 以下各节将说明IE / Firefox和恶意软件的利用代码。

0x02 利用IE中漏洞进行的攻击

图3显示了针对IE的漏洞利用代码的一部分。通常,通过执行漏洞利用代码下载的恶意软件的C&C服务器都嵌入在Shellcode中,但是,利用代码最初包含用于下载恶意软件的URL,然后在执行代码时将其嵌入Shellcode中。据推测,这使攻击者更容易修改漏洞利用代码。

对近期出现的 IE & Firefox 浏览器的在野利用攻击分析  漏洞 第3张图3:用于IE Exploit的JavaScript部分

此漏洞利用代码执行的Shellcode检索当前进程名称,并检查其是否为“ svchost.exe”,图4显示了用于检查进程名称的一部分代码。

对近期出现的 IE & Firefox 浏览器的在野利用攻击分析  漏洞 第4张

图4:检查进程名称的部分代码

如果检索到的进程名称是“ svchost.exe”,则Shellcode将下载并执行恶意软件。但是,在这种攻击中,漏洞利用代码会加载到浏览器中;检索到的进程名称特定于浏览器(例如iexplorer.exe)。当恶意软件加载到浏览器中时,此利用代码不会下载该恶意软件,如果进程名称不是“ svchost.exe”,则Shellcode代码使用WinHttpGetProxyForUrl再次以PAC文件的形式下载自身,如图5所示。当此漏洞利用作为PAC文件加载时,检索到的进程名称为“ svchost.exe”,然后Shellcode下载并执行该恶意软件(图6)。

对近期出现的 IE & Firefox 浏览器的在野利用攻击分析  漏洞 第5张

图5:用于下载PAC文件的部分代码

对近期出现的 IE & Firefox 浏览器的在野利用攻击分析  漏洞 第6张

图6:用于下载和执行恶意软件的部分代码

下载并执行该恶意软件后,除Windows 10以外,任何操作系统都仅执行图6中的代码。但是,在Windows 10上,尝试在特权升级中尝试特权升级的图7中的代码也将在该位置执行。

对近期出现的 IE & Firefox 浏览器的在野利用攻击分析  漏洞 第7张图7:尝试特权升级的部分代码

0x03 利用Firefox中漏洞进行的攻击

图8显示了攻击Firefox的部分代码。Shellcode与图5几乎相同,图5将漏洞利用代码重新下载为PAC文件,此处下载的漏洞利用代码适用于IE环境,执行PAC文件后的行为与IE利用中的行为相同。

对近期出现的 IE & Firefox 浏览器的在野利用攻击分析  漏洞 第8张图8:用于FireFox Exploit的JavaScript部分

0x04 使用的恶意软件

如果攻击成功,最终受害者将感染Gh0st RAT。如图9所示,此攻击中使用的恶意软件的源代码几乎与Gh0st RAT 的泄漏代码相同。

对近期出现的 IE & Firefox 浏览器的在野利用攻击分析  漏洞 第9张图9:恶意软件和Gh0st RAT的源代码比较 (左:攻击中使用的恶意软件/右:Gh0stRAT)

该恶意软件使用自定义协议,发送到C&C服务器的数据以固定字符串“ afxcbyzt”开头。使用zlib压缩要发送的数据,并且将前2个字节与0x88进行XOR运算。

对近期出现的 IE & Firefox 浏览器的在野利用攻击分析  漏洞 第10张图10:发送的数据示例

0x05 分析总结

我们发现攻击已在Windows7 x64(2019年12月发布的修补程序)和Windows8.1 x64(2020年1月发布的修补程序)中成功,并且该恶意软件已在这些环境中执行。但是,未在Windows 10(2020年1月发布的修补程序)中确认恶意软件感染。该漏洞利用代码可能与Windows10不兼容。 附录A和B中列出了示例服务器和C&C服务器的哈希值,请确保没有任何设备正在访问这些主机。

0x06  IOCs

 Reference
 [1] Juicy Potato (abusing the golden privileges)
 http://ohpe.it/juicy-potato/
 
 [2] Github - iGh0st / gh0st3.6_src
 https://github.com/iGh0st/gh0st3.6_src
 
 Appendix A: C&C server
 last.tax-lab.net
 cnnmedia.servepics.com
 Appendix B: SHA-256 value of a sample
 c9e7467c88d391cecc0535f0c1576c30033791a94cec676d6bbc9a37931daf20
本文翻译自:https://blogs.jpcert.or.jp/en/2020/04/ie-firefox-0day.html:
Speculoos后门分析:利用CVE-2019-19781漏洞进行传播

背景 3月25日,FireEye发布了一篇关于APT41组织近期攻击活动的文章。该攻击活动日期为1月20日——3月11日,主要利用近期公布的安全漏洞利用来攻击Citrix、Cisco、Zoho等网络应用。根据WildFire和AutoFocus数据,研究人员获得了攻击Citrix的payload样本,是运行在FreeBSD上编译的可执行文件。研究人员使用该数据发现了受害者遍布全球,位于医疗、高等教育、支付和技术服务等领域,包括北美、南美和欧洲。 本文分析攻击活动中的基于FreeBSD 的payload——Speculoos。研究人员从数据集中一共发现了5个样本,文件大小几乎一样,但也有一些差异。这些细微的差异表明这些样本来源于同一开发者