中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

發布時間:2021-12-28 19:56:34 來源:億速云 閱讀:169 作者:柒染 欄目:安全技術

這篇文章將為大家詳細講解有關疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

一.事件背景

在2020年9月初,安恒信息威脅情報中心獵影實驗室捕獲到了一個來自白俄羅斯的rtf樣本,其被命名為:“СВЕДЕНИЯ О ПОДСУДИМОМ.rtf”(大致意思為“被告人的相關信息”)。

偽裝文件內容為刑事案件登記卡,內容中可以看出與最高法院司法部門的相關信息,文檔里面的語言屬于俄語,這份模板可以在俄羅斯的一個教育的網站上下載到。

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

顯然攻擊者利用了“白俄羅斯總統大選結束后,爆發大規模活動,大量人員被捕事件”發起的網絡攻擊。

攻擊者使用了之前從未公開漏洞利用代碼的JS引擎解析漏洞CVE-2020-0968進行的攻擊,該漏洞曾被微軟認定為未被利用。未知1day的利用,說明這次的攻擊者具備非常高的技術實力或經濟實力(花錢購買漏洞),其利用的木馬使用一個命名為 “Domino”函數的特殊性,所以我們將此次活動命名為多米諾行動(Operation Domino)。

二.攻擊概述

該文檔利用未公開利用代碼的CVE-2020-0968漏洞,實現加載遠程惡意木馬,其攻擊手法專業,下載的木馬具備合法數字簽名,其除了傳統的木馬功能,還會修復存在漏洞利用的文檔,一看就是專業團隊。

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

三.武器詳細分析

樣本以內嵌URL Moniker 的rtf文檔為載體,遠程加載了位于http://94.156.174[.]7/up/a1a.htm 的網頁文件,

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

遠程加載的網頁文件內嵌一個之首次被觀察到在野利用的jscript漏洞,

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

獵影實驗室對該漏洞進行了分析,發現這是一個IE瀏覽器jscript.dll模塊中的UAF漏洞。jscript在處理兩個對象(type=0x81)的相加操作時,CScriptRuntime::Run會連續兩次調用VAR::GetValue獲取對應的值,開發者沒有將期間保存到棧上的variant變量加入GC追蹤列表。如果對象實現了自定義toString方法,VAR::GetValue內部會進一步調用NameTbl::InvokeInternal函數,這個函數可以調用自定義的toString,在第二個VAR::GetValue導致的回調中,可以手動釋放相關variant變量,回調函數返回時,CScriptRuntime::Run會再次使用被釋放的variant變量,造成UAF。

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

通過補丁分析,可以確認該漏洞出現在雙星漏洞(CVE-2020-0674)之后,且在2020年4月的補丁中被修復。

值得注意的是,2020年4月微軟確實修復了一個等級為“Critical”的IE漏洞,并在初始發布時將其標注為“Exploited: Yes”,但隨后微軟將其修改為“Exploited: No”,這件事當時還引起了安全研究人員的討論:

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

結合修復時間和上述信息,我們合理推斷本次攻擊使用的漏洞為CVE-2020-0968 Jscript遠程代碼執行漏洞。此次攻擊中的漏洞利用采用和之前出現過的Jscript UAF漏洞相同的利用方式,先借助漏洞泄露一個RegExp對象的地址,緊接著利用RegExp對象偽造一個超長BSTR,借助此BSTR數組實現越界讀,在此基礎上偽造一個假的RegExpObj對象,最終借助正則引擎實現任意地址讀寫,實現ShellCode執行。

ShellCode執行成功后,會從遠程地址http://94.156.174[.]7/up/a1a.dll下載附加模塊,并解密執行,解密方法為簡單的異或,key為“weHnh”。解密得到dll文件中含有一個名為“Domino”的導出函數,經判斷為主要功能函數。

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

Dll樣本會找到自身rtf/doc文檔,并找到“{\object\\objemb ……}”所在內容并進行刪除,而這部分內容正是內嵌的URL Moniker數據。

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

刪除URL Moniker后,dll會再次打開文檔。此時原始文檔已被修改為干凈的文檔。

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

隨后,Dll會執行一個內嵌的EXE程序,

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

該EXE后門使用了打印機圖標進行偽裝,偽裝為Microsoft Windows Fax and Scan程序,其包含有效的數字證書,簽名人信息為“Sizg Solutions GmbH”。該EXE程序被VMP加殼,輸入表被加密:

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

該后門啟動后會創建了一個窗口標題為“8Wsa1xVPfvJcrgRY”,類名為“frAQBc”的窗口。

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

接著進入消息循環機制,大部分惡意功能都是在窗口處理函數WindowProc里面實現,當窗口收到窗口創建消息WM_CREATE時,后門發送自定義消息觸發其他關鍵惡意流程:

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

大部分的消息碼對應的函數功能統計如下表:

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

動態獲取API地址后,通過wmi命令獲取各類操作系統、硬件、用戶信息等信息

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

大量不同密鑰通過異或算法解密出HTTP通訊需要HTTP頭信息,用于構造Post請求的數據包

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

通訊數據被AES加密,后門內置3組密鑰,在不同功能模塊使用不同密鑰處理數據

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

由于后門被VMP保護以及內部混淆較嚴重,對分析造成了很大干擾,目前的分析發現的主要功能包括:

●加密上傳收集的用戶信息

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

●截圖獲取用戶桌面以及更新自身

疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

四.關聯猜想

本次攻擊中用到了一個之前未出現在公眾視野的JScript漏洞,從漏洞利用手法來看,之前只有DarkHotel擁有此類原創的JScript新漏洞利用。不過,在對后續載荷進行分析的過程中,我們并未發現有DarkHotel的明顯特征。考慮到此次漏洞使用時是一個1Day,不排除其他組織從相關渠道獲取了這個漏洞利用并進行攻擊。

網絡暗戰在政治軍事博弈中起到了關鍵性作用,在政治軍事情報體系運營過程中,從收集信息到網絡空間基礎設施打擊都能夠起到意想不到的作用。

正如此次活動中使用的dll的功能函數“Domino”(多米諾),推動第一步后,多米諾所帶來的連鎖反應導致一系列的引導式的變化。這里再暢想一點,上個世紀50年代,由美國總統艾森豪威爾首先提出的多米諾理論,是對當時針對東南亞形式的非常重要的一條理論,東南亞地區一個國家的政治傾向只要出現第一例,那么這個地區的其他國家就會像多米諾骨牌一樣,一個接一個的傾向于一個方向。其用在當前局勢下,也十分應景。

此次為首次發現在野利用的疑似CVE-2020-0968漏洞,說明攻擊組織有一定的實力。針對“Domino”函數的特殊性,我們將此次活動命名為多米諾行動(Operation Domino)

微軟已經不對windows 7系統提供服務支持了,所以默認不會推送補丁,如果是windows7用戶需要手動去微軟網站下載補丁進行安裝。

關于疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

喀喇| 志丹县| 台前县| 台湾省| 和政县| 阳泉市| 龙南县| 扶余县| 兰坪| 东安县| 大兴区| 新安县| 瓦房店市| 沙湾县| 辰溪县| 峨山| 宜昌市| 青铜峡市| 昌邑市| 嵊州市| 安多县| 阿图什市| 三明市| 永新县| 攀枝花市| 馆陶县| 博野县| 饶河县| 灌云县| 平湖市| 蓝山县| 嫩江县| 辽源市| 乐至县| 甘德县| 太湖县| 白山市| 原平市| 绥江县| 郧西县| 深州市|