瞄準多個企業的針對性攻擊

瞄準多個企業的針對性攻擊

 

卡巴斯基企業端點安全方案中的行為威脅檢測和利用預防技術,已經監測到朝向多家企業的高針對性攻擊浪潮。 此類攻擊通過利用谷歌的 Chrome 瀏覽器和微軟 Windows 中的漏洞,發動一系列零日攻擊。 目前,隨著6月8日微軟發佈更新,針對該漏洞的更新已經可用。 因此我們建議大家同時更新瀏覽器和操作系統。 我們把這類攻擊幕後的黑手稱為 PuzzleMaker。

PuzzleMaker 攻擊為何如此危險?

攻擊者使用谷歌 Chrome 漏洞在目標計算機上執行惡意代碼,並通過利用兩個 Windows 10 中的漏洞逃過”沙箱”,獲得系統許可權。 接下來他們將第一個惡意模組(即所謂的 stager)以及一個定製的配置塊(命令伺服器位址,會話ID,下一個模組的解密密匙等)一同上傳到受害者的機器。

感染成功後,stager 會通知攻擊者,隨後下載並解密一個 dropper 模組,dropper 模組會安裝兩個可執行檔,並使其獲得合法身份。 第一個可執行檔是 WmiPrvMon.exe,註冊為一個服務,然後運行第二個可執行檔wmimon.dll,這個檔是攻擊的主要 payload,被設計成了一個遠端 Shell。

攻擊者使用該 payload 將目標電腦完全控制。 他們可以上傳下載檔、創建進程、在指定的時間內休眠,甚至可以擦除機器上任何受攻擊的痕跡。 此惡意元件通過加密連接與命令伺服器建立通信。

 

可攻擊的漏洞有哪些?

不幸的是,我們的專家無法分析用於攻擊谷歌 Chrome的遠端代碼執行漏洞,但確實做了完整的調查並得出了結論:攻擊者可能利用了 CVE-2021-21224 漏洞。 如果您對他們得出此結論的方法和原因感興趣,這裡推薦您閱讀在 Securelist 上的這篇文章,瞭解有關他們推理過程的資訊。 無論如何,在我們發現這波攻擊之後不到一周的時間里,谷歌就於2021年4月20日發佈了針對此漏洞的補丁。

提升許可權攻擊一次會利用兩個 Windows 10 漏洞。 第一個是CVE-2021-31955 漏洞,它是 ntoskrnl.exe 檔中的資訊洩露漏洞。 該攻擊利用它來確定已執行進程的 EPROCESS 結構內核的位址。 第二個漏洞 CVE-2021-31956 在ntfs.sys驅動程式里,屬於堆溢出類漏洞。 Malefactors 將其與 Windows 通知工具一起用來將數據讀取和寫入記憶體。 此漏洞適用於最常見的 Windows 10 版本: 17763 (紅石5) 、18362 (19H1) 、18363 (19H2) 、19041 (20H1) 和19042 (20H2)。 19043 (21H1) 也很容易受到攻擊,雖然我們的技術尚未檢測到針對此版本的攻擊,但該版本是在我們檢測到 PuzzleMaker 之後發布的。 Securelist 上的一篇文章給出了詳細的技術說明,並列出了妥協指標(IOC)。

 

防止此類攻擊及類似的攻擊

為了避免您的企業遭到 PuzzleMaker 的漏洞攻擊,請第一時間更新 Chrome 並通過微軟的網頁安裝可以解決 CVE-2021-31955 和 CVE-2021-31956 漏洞的操作系統補丁。

也就是說,為了避免其他零日漏洞的威脅,各類企業都應該使用網路安全產品,以通過分析可疑行為來檢測這種攻擊企圖。 比如,我們的產品通過使用卡巴斯基企業端點安全中的行為檢測引擎技術與攻擊預防子系統,對此類攻擊進行偵測。

 

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: