卡巴斯基企業(y������e)端點安全方案中(zhong)的(de)(de)行為威脅檢測和利(li)用(yong)預防技術,已(yi)經監測到朝向多家企業(ye)的(de)(de)高針(zhen)對性攻(gong)擊(ji)(ji)(ji)浪(lang)潮(chao)。此類(lei)攻(gong)擊(ji)(ji)(ji)通過(guo)利(li)用(yong)谷(gu)歌的(de)(de) Chrome 瀏(liu)覽器和微軟 Windows 中(zhong)的(de)(de)漏洞(dong),發(fa)(fa)動一(yi)系(xi)列零(ling)日(ri)攻(gong)擊(ji)(ji)(ji)。目前,隨著6月8日(ri)微軟發(fa)(fa)������布更新(xin),針(zhen)對該(gai)漏洞(dong)的(de)(de)補丁已(yi)經可用(yong)。因(yin)此我(wo)們建議大家同時更新(xin)瀏(liu)覽器和操作(zuo)系(xi)統。我(wo)們把這類(lei)攻(gong)擊(ji)(ji)(ji)幕后的(de)(de)黑手稱為 PuzzleMaker。
█ PuzzleMaker 攻擊(ji)為何如此危險?
攻擊(ji)者使(shi)用(yong)谷歌 Chrome 漏洞在目標計(ji)算機(ji)上(shang)執行惡(e)意(yi)代碼,并通過利(li)用(yong)兩個(ge) Windows 10 中的(de)漏洞逃過“沙箱”,獲(huo)得系(xi)統權(quan)限。接下來他們將第(di)一個(ge������)惡(e)意(yi)模塊(即所謂的(de) stager)以及一個(ge)定(ding)制的(de)配置(zhi)塊(命令服(fu)務(wu)器(qi)地址,會話ID,下一個(ge)模塊的(de)解密密匙等)一同上(shang)�������傳到受害(hai)者的(de)機(ji)器(qi)。
感染成功后,stager 會通知(zhi)攻擊者,隨后下載并(bing)解密一(yi)個(ge)(ge) dropper 模(mo)塊,dropper 模(mo)塊會安裝兩(liang)個(ge)(ge)可(ke)執行文(wen)件(jian),并(bing)使其(qi)獲得合法身份。第(di)一(yi)個(ge)(ge)可(ke)執行文(wen)件(jian)是(shi) WmiPrvMon.exe,注冊為一(yi)個(ge)(ge)服務,然(ran)后運(yun)行第(di)二個(ge)(ge)������可(ke)執行文(wen)件(jian)wmimon.dll,這個(ge)(ge)文(wen)件(jian)是(shi)攻擊的主要 payload,被設計成了一(yi)個(ge)(ge)遠程 Shell。
攻擊者使用該 payload 將(jiang)目標計算機(ji)完全控制。他們可以上(shang)傳下載文件、創建進程、在指定的時間(jian)內休眠,甚至(zhi)可以擦除(chu)機(ji)器(qi)上(shang)����任何受攻擊的痕跡。此惡(e)意������組件通過加(jia)密連接與命令(ling)服務器(qi)建立通信。
█可攻擊(ji)的漏(lou)洞(dong)有哪些?
不(bu)幸(xing)的(de)(de)是,我們的(de)(de)專家無(wu)法分析用于攻(gong)擊(ji)谷(gu)歌 Chrome的(de)(de)遠程(cheng)代(dai)碼執行漏(lou)洞(dong)(dong),但確實做了(le)完整的(de)(de)調查并得出了(le������)結(jie)論:攻(gong)擊(ji)者可(ke)能利用了(le) CVE-2021-21224 漏(lou)洞(dong)(dong)。如果您(nin)對(dui)他們得出此結(jie)論的(de)(de)方法和原(yuan)因(yin)感興趣,這里推薦您(nin)閱讀在 Securelist 上的(de)(de)這篇文(wen)章(zhang),了(le)解有關他們推理過程(cheng)的(de)(de)信(xin)息。無(wu)論如何,在我們發現這波攻(gong)擊(ji)之后不(bu)到一(yi)周(zhou)的(de)(de)時間里,谷(gu)歌就于2021年4月20日發布了(le)針對(dui)此漏(lou)洞(dong)(dong)的(de)(de)補丁(ding)。
提(ti)升權限攻擊一(yi)次會(hui)利(li)用(yong)(yong)兩個(ge��������) Windows 10 漏(lou)(lou)洞。第一(yi)個(ge)是(shi)CVE-2021-31955 漏(lou)(lou)洞,它是(shi) ntoskrnl.exe 文件中的(de)(de)信息泄露漏(lou)(lou)洞。該(gai)攻擊利(li)用(yong)(yong)它來確定已執行進(jin)程的(de)(de) EPROCESS 結構(gou)內核的(de)(de)地(di)址。第二(er)個(ge)漏(lou)(lou)洞 CVE-2021-31956 在(zai)ntfs.sys驅動程序里(li),屬于堆溢出(chu)類漏(lou)(lou)洞。Malefactors 將其與 Windows 通知工具一(yi)起(qi)用(yong)(yong)來將數據讀取和寫入內存。此漏(lou)(lou)洞適用(yong)(yong)于最常見的(de)(de) Windows 10 版(ban)(ban)本(ben): 17763 (紅石5) 、18������362 (19H1) 、18363 (19H2) 、19041 (20H1) 和19042 (20H2)。19043 (21H1) 也很容(rong)易受(shou)到(dao)攻擊,雖然我們的(de)(de)技(ji)術(shu)尚(shang)未(wei)檢測到(dao)針對此版(ban)(ban)本(ben)的(de)(de)攻擊,但該(gai)版(ban)(ban)本(ben)是(shi)在(zai)我們檢測到(dao) PuzzleMaker 之后(hou)發布的(de)(de)。Securelist 上的(de)(de)一(yi)篇文章給出(chu)了(le)詳細的(de)(de)技(ji)術(shu)說明,并列出(chu)了(le)妥協指標(IOC)。
█防止此(ci)類(lei)攻擊及類(lei)似(si)的攻擊
為了(le)避免您的������(de)企業遭到 PuzzleMaker 的(de)漏(lou)洞(dong)攻(gong)擊,請第一時間更新 Chrome 并通過微軟(ruan)的(de)網頁安(an)裝可以解決 CVE-2021-31955 和 CVE-2021-31956 漏(lou)洞(dong)的(de)操作系統補丁。
也就是說(shuo),為(wei)(wei)了避(bi)免(mian)其他零日漏洞的(de)威脅,各類企業都應該使����用網絡安(an)全(quan)產(chan)品,以通(tong)過分析可疑行(xing)為(wei)(wei)來檢測這種攻(gong)(gong)擊企圖。比如(ru),我們的(de)產(chan)品通(tong)過使用卡巴(ba)斯基企業端點安(an)全(quan)中的(de)行(xing)為(wei)(wei)檢測引擎(qing)技術與攻(gong)(gong)擊預防子系(xi)統,對此類攻(gong)(gong)擊進行(xing)偵測。
