曲速未来 披露:零日攻击被用于目标攻击区块链
曲速未来消息:近期,修补了CVE-2018-8453。这是卡巴斯基实验室8月份发现的win32k.sys漏洞。此漏洞于2018年8月17日被Microsoft发现了并确认。
近期,修补了CVE-2018-8453。这是卡巴斯基实验室8月份发现的win32k.sys漏洞。此漏洞于2018年8月17日被Microsoft发现了.也已确认此漏洞并将其指定为CVE-2018-8453。
在2018年8月,试图利用Microsoft Windows操作系统中的漏洞被检测到。对此案例的进一步分析然后发现了win32k.sys中的零日漏洞。该漏洞由恶意软件安装程序的第一阶段执行,以获得对受害者系统持久性的必要特权。该漏洞利用的代码质量很高,其目的是可靠地利用尽可能多的MS Windows版本,包括MS Windows10 RS4。
到目前为止,检测到使用此漏洞的攻击数量非常有限。受害者位于中东。
技术细节
CVE-2018-8453是一款免费使用的win32kfull!xxxDestroyWindow,类似于旧漏洞-CVE-2017-0263。CVE-2017-0263最初由Sofacy APT和PostScript漏洞利用于2017年部署。
对于漏洞的技术分析,完全反向设计了所获得的ITW漏洞利用样本,并将其重写为完整的概念证明。
利用此漏洞取决于从三个usermode回调函数(fnDWORD,fnNCDESTROY和fnINLPCREATESTRUCT)上设置的挂钩执行的一系列事件。该漏洞通过替换KernelCallbackTable中的函数指针来安装这些钩子:
图2.内核回调表中的钩子函数
在fnINLPCREATESTRUCT钩子中,该漏洞利用显式为其指定位置来初始化“SysShadow”窗口:
图3.fnINLPCREATESTRUCT上的Usermode挂钩初始化SysShadow
处理WM_LBUTTONDOWN消息时,fnDWORD挂钩在父节点上执行DestroyWindow函数,这导致窗口被标记为空闲并随后由垃圾收集器释放。
问题在于在执行DestroyWindow函数期间执行的fnNCDESTROY挂钩。此挂钩执行NtUserSetWindowFNID系统调用,该调用包含一个有缺陷的逻辑,用于更改窗口的fnid状态,而不会正确检查它是否设置为FNID_FREED。
图4.NtUserSetWindowFNID中的易受攻击的代码
窗口的fnid状态位于tagWND结构中的偏移量0x02a处:
最初创建滚动条时,它的值为FNID_SCROLLBAR(0x029A)。
下图显示了在执行NtUserSetWindowFNID系统调用之前和之后的fnid值:
图6.在执行NtUserSetWindowFNID系统调用之前和之后的滚动条fnid
然后可以通过针对ReactOS源代码验证它来检查新的fnid值是什么:
在第一滚动条这个动作结果被破坏,同时系统仍然保持为一个参考“SysShadow”类,如滚动条FNID不再标记为FNID_FREED,但FNID_BUTTON代替。
为了成功回收释放的内存池,该漏洞包含了许多不同的风水策略。喷涂程序取决于被利用的Windows版本,并且由于该漏洞利用了广泛的操作系统,它包括五个独立的喷涂功能:
图8.利用中支持堆喷涂程序
对于最新支持的版本(Windows 10 RS4),喷涂策略非常复杂。内核喷涂了不同大小的位图对象。这需要耗尽内存分配器以最终绕过最新Windows版本中显着改进的低碎片堆安全缓解:
图9.用于Windows RS4 17134的堆风水技术
这导致以下内存布局,其中USERTAG_SCROLLTRACK是释放的池分配:
图10.释放滚动条堆分配
分配另一个滚动条时,将重用SysShadow类内存引用,但其内容受攻击者控制,因为释放的Usst(ffffee30044b2a10)和Gpbm(ffffee30044b2a90)池合并为一个块:
图11.释放的分配与以下池合并
这导致使用GDI Bitmap原语的强大的任意内核Read\Write,即使在最新的Windows版本上也能工作。
成功利用之后,稍微修改的令牌窃取有效负载用于将当前进程令牌值与SYSTEM EPROCESS结构中的值进行交换:
图12.修改的令牌窃取有效载荷过程
到目前为止,当漏洞攻击包装在恶意软件安装程序中时,已经观察到此漏洞利用在少数目标攻击中。安装程序需要系统特权才能安装其有效内容。有效载荷是一种复杂的植入物,被攻击者用于持久访问受害者的机器。它的一些主要特征包括:
使用带有SMBIOS UUID的SHA-1的AES-256-CBC加密主有效负载(如果SMBIOS UUID未知,则无法在受害者以外的机器上解密有效负载)
使用Microsoft BITS(后台智能传输服务)与其C&C服务器进行通信,这是一种不寻常的技术
将主要负载存储在磁盘上随机命名的文件中; 加载程序包含文件名的哈希值,并尝试通过比较Windows目录中所有文件的文件名哈希值来查找有效内容
归因
在经过调查过程中,发现攻击者使用的是PowerShell后门,以前曾见过FruityArmor APT独家使用的后门。在这一系列新活动与之前的FruityArmor活动之间,C2所使用的域名也存在重叠。
结论
即使部署0天似乎比以前更频繁,这也是已经第二次发现FruityArmor使用其中一个来分发其恶意软件。这表明了这个演员的资源和复杂性,以及其分发的高级最终赌注。
到目前为止,这场运动极具针对性,影响了中东地区极少数受害者,可能是袭击者感兴趣的人。然而,受害者的情况尚不清楚,特别是涉及的受害者人数如此之少。
1.TMT观察网遵循行业规范,任何转载的稿件都会明确标注作者和来源;
2.TMT观察网的原创文章,请转载时务必注明文章作者和"来源:TMT观察网",不尊重原创的行为TMT观察网或将追究责任;
3.作者投稿可能会经TMT观察网编辑修改或补充。