同时,朝鲜攻击组织也在不断的更新其攻击手腕和武器库。在近期的攻击活动中就利用了两个Nday(虽然是Nday,但是漏洞还是比较新的),并且利用的exploit代码并未在网络上公开。
两个NdayCVE-2020-9715Adobe Reader Use-After-Free漏洞
Adobe Acrobat和Reader版本2020.009.20074及更早版本、
2020.001.30002、2017.011.30171及更早版本和 2015.006.30523及更早版本
存在开释后利用漏洞。成功利用可以导致任意代码实行。
某朝鲜APT组织最近的一些PDF样本利用了一个网上没有公开exploit代码的Nday漏洞,经确认漏洞编号为CVE-2020-9715,以下为从某样本中提取出来的部分漏洞利用代码,可以看到干系特色与网上公开的CVE-2020-9715观点验证代码高度同等:
图:本次攻击所利用的漏洞利用代码
图:网上公开的CVE-2020-9715观点验证代码
CVE-2020-0986Windows 内核提权漏洞
受影响的版本:Windows 10 1909/1903、KB4556799 及其它更早版本
当Windows内核未能精确处理内存中的工具时,存在权限提升的漏洞。成功利用此漏洞的攻击者可以在内核模式下运行任意代码。
除此之外,某朝鲜APT组织在从7月份开始的部分攻击中还利用了利用了另一个网上没有公开exploit代码的Nday提权漏洞,该漏洞可以实现从Low权限提升到Medium权限,因此可以逃逸IE浏览器的沙箱。经由仔细验证,我们确认该漏洞编号为CVE-2020-0986,这是一个Windows打印机组件的提权漏洞。在实际攻击中,攻击者利用的是一个模块化的提权组件,该提权组件合营一个用来加载的DLL,可以实现在IE浏览器中实行任意恶意代码的目的。从下图的复现图中可以看到,通过在IE浏览器中点击一次恶意链接,该提权组件成功弹出了一个权限为Medium的cmd窗口,从而绕过了IE的保护模式(保护模式下的权限为Low)。
图:借助CVE-2020-0986提权组件绕过IE浏览器保护模式
故意思的是,该提权组件成功运行后还会记录完全的利用日志,某次成功利用漏洞后的日志如下:
图:示例,提权漏洞成功利用后天生的log.log日志
上述输出的日志里面有一部分CVE-2021-1648公开poc中的字符串,然而经由严格的补丁验证,我们确信该提权组件利用的漏洞为CVE-2020-0986,而不是CVE-2021-1648,更不是CVE-2019-0880。
猜想
朝鲜APT组织在最近几个月的攻击行动中越来越多地利用一些网上没有公开资料的主流软件Nday漏洞利用组件,这和该组织以往的特点不符合。我们预测其有可能招募了有能力的人开拓这类漏洞武器,也有可能从别处购买了这类漏洞武器,末了一种可能是,联系到今年年初朝鲜黑客对Twitter上二进制漏洞研究员的大面积攻击,不用除该组织和之提高行攻击的组织之间存在联系,他们在利用从其他研究员那里盗取的漏洞武器来进行攻击。
图:防不胜防,黑客利用VISUAL STUDIO编译器特性定向攻击二进制漏洞安全研究员截图
防御建议安恒APT攻击预警平台能够创造已知或未知威胁,平台能实时监控、捕获和剖析恶意文件或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连掌握等各个阶段关联的木马等恶意样本进行强有力的监测。
同时,平台根据双向流量剖析、智能的机器学习、高效的沙箱动态剖析、丰富的特色库、全面的检测策略、海量的威胁情报等,对网络流量进行深度剖析。检测能力完全覆盖全体APT攻击链,有效创造APT攻击、未知威胁及用户关心的网络安全事宜。
安恒主机卫士EDR通过“平台+端”分布式支配,“进程阻断+诱饵引擎”双引擎防御已知及未知类型威胁。
IOCCVE-2020-9715 PDF漏洞攻击样本:
359ab5e0b57da0307ca9472e5b225dcd0f9dc9bf2efd2f15b1ca45b78791b6bc
512ad244c58064dfe102f27c9ec8814f3e3720593fe1e3ed48a8cb385d52ff84
5ea7a724d99fab3f05f50dccd57db59451334ac8640c532d426df319dad55c9e
7900ca98a6fbed74aa5a393758c43ad7abc9d8c73c3fbab7af93bae681065f4e
83292ba7a1ddda6acf32181c693aa85b9e433fcb908a94ebccbed0f407a1a021
87ac78a96a221ebf61f90011cadb4e7a2ee9575758e6ffa20912464bf5d1f6ca
CVE-2020-0986 打印机组件提权漏洞样本:
c70c2fa91a457953cd6316b0f46ef4fe37cec00fa53aeec7e6650804a43ee38c
40d9e6a34942f0e93fa4d2b72eab8223fc9da3815e990966487caca9af13dc3b
7ce9be1bd5f31c688924b3b81d83d7a7e8d3bf92b83b414eae49d63b2da727e4
PS:逐日更新整理国内外威胁情报快讯,帮助威胁研究职员理解及时跟踪干系威胁事宜
关注微信"大众号:安恒威胁情报中央
获取一手原创安全剖析报告
