我(wo)們(men)的(de)行(xing)為檢測引擎和漏(lou)洞預防技術最近檢測到了(le)(le) Win32k內核驅(qu)動中(zhong)一個(ge)漏(lou)洞在(zai)被利(li)用,隨即(ji)調查了(le)(le)該利(li)用行(xing)為的(de)背后一������整個(ge)網絡罪犯行(xing)為。我(wo)們(men)給微軟報告了(le)(le)這個(ge)漏(lou)洞(CVE-2021-40449),之(zhi)后其在(zai) 10月 12號的(de)常規更(geng)新中(zhong)修補了(le)(le)它。因(yin)此,我(������wo)們(men)會像往常一樣在(zai)“補丁星期二(er)”之(zhi)后,推(tui)薦盡(jin)快更(geng)新微軟 Windows。
█ CVE-2021-40449是(shi)用(yong)來做什(shen)么的������(de)
CVE-2021-40449是 Win32k驅動的(de) NtGdiResetDC函(han)數中的(de)一個釋放后(hou)重用漏洞。一份詳細(xi)的(de������)技術性描(miao)述(shu)可以在(zai)我們(men)的(de)Securelist帖子里看到,但,簡而(er)言(yan)之,該漏洞會導致(zhi)計算機內(nei)存(cun)中的(de)內(nei)核模塊地址泄露����。然后(hou),網(wang)絡罪犯利用該泄漏來給另一個惡意進(jin)程提權。
通過提權操作,攻擊者(zhe)能夠下載并啟動神秘(m������i)蝸牛,一個能使攻擊者(zhe)進入(ru)受害者(zhe)系統的(de)遠程訪問木(mu)馬(RAT)。
█ 神秘蝸牛做了什(shen)么
這種木馬先是收集被感染(ran)電腦的系(xi)統(tong)數(shu)(shu)������據并發送給 C&C服(fu)務器。之(zhi)后,攻擊者就(jiu)可以(yi)通(tong)(tong)過神秘(mi)蝸牛發送各(ge)種指令(ling)。例如(ru),他們(men)能創建,讀取或(huo)(huo)者刪除特定(ding)的文件;創建或(huo)(huo)刪除一個(ge)進程;獲得一個(ge)目錄列表;亦或(huo)(huo)者打開一個(ge)代(dai)理通(tong)(tong)道并通(tong)(tong)過它(ta)發送數(shu)(shu)據。
神秘蝸牛還(huan)有其他一(yi)些包括(kuo)查看連(lian)(lian)接的驅(qu)動器(qi)列(lie)表,在后臺監控外部(bu)驅(qu)動器(qi)的連(lian)(lian)接情況,等等功能。這木馬還(hua�������n)可(ke)以啟動 cmd.exe交互式外殼(通(tong)過(guo)將(jiang)cmd.exe文件復制到(dao)一(yi)個名字不(bu)一(yi)樣的臨時文件夾中(zhong))。
█ CVE-2021-40449實施的攻(gong)擊
該漏洞的(de)利(li)(li)用(yong)手段覆蓋了微(wei)軟 Windows各系列的(de)一連串(chuan)操(cao)作系統(t������ong)。Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (build 17763), and Server 2019 (build 17763).據我們的(de)專家(jia)所說,這種(zhong)利(li)(li)用(yong)手段特別出現(xian)在(zai)服務器版(ban)本的(de)操(cao)作系統(tong)提權當(dang)中(zhong)。
在檢測到(dao)威脅后(hou),我(wo)們的(de)專家(jia)發(fa)現,該漏(lou)洞及(ji)其加載到(dao)系統中(zhong)(zhong)的(de)神秘蝸(gua)牛惡意軟件在針對 IT公司、外交組織和(he)為國(guo)防工業(ye)������工作的(de)公司的(de)間(jian)諜活動中(zhong)(zhong)被廣(guang)泛(fan)使用。
歸(gui)功于(��������yu)卡巴斯基威脅(xie)歸(gui)因引擎,我們的專家發現神(shen)秘蝸(gua)牛的代(dai)碼和(he)功能與IronHusky組(zu)織(zhi)(zhi)使用的惡(e)意軟件有相似(si)之(zhi)處。細思極恐(kong�����),一個中文(wen) APT組(zu)織(zhi)(zhi)在 2012年使用了神(shen)秘蝸(gua)牛的一些 C&C服務器地址。
了解(jie)更多(duo)關(guan)于這次攻擊(ji����)的信息,包括對漏(lou)洞和入侵指標的詳細描(miao)述(shu),請參閱我們的Securelist帖(tie)子。
█ 如(ru)何保持安全
從(cong)安(an)裝微軟最(zui)新(xin)補丁開始(shi),通過(guo)安(an)裝強大的(de)安(an)全解決方案(an),在(zai)������所有可以訪問互聯網的(de)計算(suan)機上主動檢測(ce)并(bing)阻止(zhi)對漏(lou)洞(dong)(dong)的(de)利用,在(zai)未(wei)來(lai)避免(mian)受(shou)到(dao)零日(ri)漏(lou)洞(dong)(dong)的(de)打擊。像卡(ka)巴斯基企(qi)業端點安(an)全系統(tong)中的(de)行為檢測(ce)引擎(qing)和漏(lou)洞(dong)(dong)預防技術技術,檢測(ce)到(dao)了 CVE-2021-40449漏(lou)洞(dong)(dong)。
