原文:https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
譯者:neal1991
點擊藍字“madMen”關注我喲
摘要
卡巴斯基安全防護是卡巴斯基產品的一部分,過去已成功檢測到許多零日攻擊。最近,爲 Google的 Chrome 瀏覽器發現了一個未知的新漏洞。我們會立即將此情況報告給 Google Chrome 安全團隊。在審覈了我們提供的 PoC 之後,Google 確認存在零日漏洞並將其分配爲 CVE-2019-13720。Google 已針對 Windows,Mac 和 Linux 發佈了 Chrome 版本78.0.3904.87,我們建議所有 Chrome 用戶儘快將其更新爲最新版本!你可以點擊此處閱讀 Google 公告。
卡巴斯基端點產品藉助漏洞利用防禦組件檢測漏洞。該攻擊的裁決是 Exploit.Win32.Generic。
我們稱這些攻擊爲 Operation WizardOpium。到目前爲止,我們還無法與任何已知的威脅者建立明確的聯繫。與藍蓮花攻擊有某些非常弱的代碼相似性,儘管這很可能是 false flag。目標網站的配置與最近部署了類似虛假標記攻擊的早期 DarkHotel 攻擊更加一致。
卡巴斯基情報報告的客戶可以獲取有關 CVE-2019-13720 和最近的 DarkHotel 的 false flag 攻擊的詳細信息。有關更多信息,請聯繫:[email protected]。
技術細節
攻擊利用朝鮮語新聞門戶上的水坑式注入。在主頁中插入了惡意的 JavaScript 代碼,惡意代碼又從遠程站點加載了分析腳本。
重定向到漏洞利用登錄頁面
主頁上託管了一個從 hxxp://code.jquery.cdn.behindcorona[.]com/ 中加載了遠程腳本的微不足道的 JavaScript 標籤。
然後,該腳本將加載另一個名爲 .charlie.XXXXXXXX.js 的腳本。該 JavaScript 通過與瀏覽器的用戶代理進行比較來檢查受害者的系統是否能被感染,程序應在 64位 版本的 Windows 上運行,而不是 WOW64 進程;它還嘗試獲取瀏覽器的名稱和版本。該漏洞試圖利用 Google Chrome 瀏覽器中的 bug,腳本會檢查該版本是否大於或等於65(當前的Chrome版本爲78):
分析腳本(.charlie.XXXXXXXX.js)中 Chrome 版本檢測
如果檢測出瀏覽器版本,腳本將開始向攻擊者的受控服務器 (behindcorona[.]com) 發送一些 AJAX 請求,其中路徑名指向傳遞給腳本(xxxxxxx.php)的參數。首先需要獲得一些將來有用的重要信息。該信息包括幾個十六進制編碼的字符串,這些字符串告訴腳本應從服務器下載多少個實際漏洞利用代碼,以及圖像文件的 URL,這個圖片嵌入了最終載荷的密鑰和RC4密鑰從而對漏洞利用代碼解密。
漏洞利用鏈– AJAX 請求 xxxxxxx.php
下載完所有代碼塊後,RC4 腳本將所有部分解密並拼接在一起,這爲攻擊者提供了一個包含完整瀏覽器漏洞的新 JavaScript 代碼。爲了解密這些部分,使用了之前的 RC4 密鑰。
另一次版本檢測
瀏覽器漏洞腳本被混淆;消除混淆後我們觀察到一些奇怪的事情:
對用戶代理的字符串進行另一項檢查–這次它檢查瀏覽器版本是 76 還是77。這可能意味着漏洞利用作者僅使用這些版本(先前的漏洞利用階段檢查的版本號爲65或更高)或使用過去曾在舊版 Chrome 中使用過其他漏洞利用。
混淆後的漏洞利用代碼
操作瀏覽器的內置 BigInt 類,這個類在 JavaScript 代碼中執行 64 位算術很有用,例如,在 64位 環境中使用原生指針。通常情況下,漏洞利用開發者通過與32位數字實現自己的功能。但是,在這種情況下,使用的是BigInt,它應該更快,因爲它是在瀏覽器的代碼中本地實現的。漏洞利用開發者此處並未使用全部 64 位,而是使用較小的數字範圍。這就是爲什麼它們實現一些功能以與數字的較高/較低部分兼容原因。
使用 64 位數字的代碼片段
在實際的代碼中有許多未使用的函數和變量。這通常意味着它們用於調試代碼,然後在將代碼移至生產環境時被遺忘。
大多數代碼使用與瀏覽器的某些易受攻擊組件相關的幾個類。由於此 bug 仍未得到修復,因此我們此處不包括有關特定易受攻擊組件的詳細信息。
有一些帶有數字的大數組,這些數字代表一個 shellcode塊 和一個嵌入式 PE 鏡像。
由於存在漏洞披露原則,我們在此提供的分析特意簡短。該漏洞利用了兩個線程之間的競爭條件錯誤,原因是它們之間缺少適當的同步。它使攻擊者處於釋放後使用(UaF)的狀態,這是非常危險的,因爲它可能導致代碼執行,這正是本例所發生的情況。
該漏洞利用程序首先嚐試觸發 UaF 對重要的64位地址(作爲指針)執行信息泄漏。結果是:1)如果地址成功泄漏,則表明漏洞利用正常。2)泄漏的地址用於定位堆/棧的位置,這使地址空間佈局隨機化(ASLR)技術無效;3)通過在該地址附近進行搜索,可以找到其他一些有用的指針,以供進一步利用。
之後,它嘗試使用遞歸函數創建一堆大對象。這樣做是爲了確定一些重要的的堆佈局,這對於成功利用漏洞很重要。同時,它嘗試利用堆噴塗技術,該技術旨在重用先前在 UaF 部分釋放的指針。儘管實際上它們位於相同的內存區域,但該技巧可能會引起混亂,並使攻擊者能夠對兩個不同的對象進行操作(從 JavaScript 代碼的角度來看)。
該漏洞嘗試執行許多操作來分配/釋放內存以及其他技術,這些技術最終爲攻擊者提供了任意的讀/寫能力。這用於製作可以與 WebAssembly 和 FileReader 一起使用的特殊對象來執行嵌入的 Shellcode 有效載荷。
有效載荷說明
最終的有效載荷將作爲加密的二進制文件(worst.jpg)下載,並由shellcode解密。
解密後,惡意軟件模塊將作爲 updata.exe 拖放到磁盤上並執行。爲了持久化,該惡意軟件會在 Windows Task Scheduler 中安裝任務。
有效載荷“安裝程序”是 RAR SFX 歸檔文件,其中包含以下信息:
File size: 293,403 MD5: 8f3cd9299b2f241daf1f5057ba0b9054 SHA256: 35373d07c2e408838812ff210aa28d90e97e38f2d0132a86085b0d54256cc1cd
這個文檔包含兩個文件:
文件名: iohelper.exe
MD5: 27e941683d09a7405a9e806cc7d156c9 SHA256: 8fb2558765cf648305493e1dfea7a2b26f4fc8f44ff72c95e9165a904a9a6a48
文件名: msdisp64.exe
MD5: f614909fbd57ece81d00b01958338ec2 SHA256: cafe8f704095b1f5e0a885f75b1b41a7395a1c62fd893ef44348f9702b3a0deb
這兩個文件是同時編譯的,我們確信的依據是時間戳 "Tue Oct 8 01:49:31 2019”。
主模塊(msdisp64.exe)嘗試從硬編碼的 C2 服務器集中下載下一部分。下一部分位於 C2 服務器上具有受害計算機名稱的文件夾中,因此威脅執行者可以瞭解有關哪些計算機被感染的信息,並將下一階段模塊放置在 C2 服務器上的特定文件夾中。
卡巴斯基情報報告的客戶可以獲取有關此攻擊的更多詳細信息。更多信息,請聯繫:[email protected]。
IoCs
behindcorona[.]com
code.jquery.cdn.behindcorona[.]com
8f3cd9299b2f241daf1f5057ba0b9054
35373d07c2e408838812ff210aa28d90e97e38f2d0132a86085b0d54256cc1cd
27e941683d09a7405a9e806cc7d156c9
8fb2558765cf648305493e1dfea7a2b26f4fc8f44ff72c95e9165a904a9a6a48
f614909fbd57ece81d00b01958338ec2
cafe8f704095b1f5e0a885f75b1b41a7395a1c62fd893ef44348f9702b3a0deb
譯者注:在圖像中加載惡意代碼也是一種常見的攻擊方式,之前也分析過一個黑產通過 Canvas 加載惡意代碼
❤️ 看完三件事
如果你覺得這篇內容對你挺有啓發,我想邀請你幫我三個小忙:
點贊,讓更多的人也能看到這篇內容(收藏不點贊,都是耍流氓 -_-)
關注公衆號「mad_coder」,不定期分享原創知識。
點擊菜單歷史消息,獲取往期精彩原創文章。
我都當成了喜歡!
