我們的行為檢測(cè)引擎和漏洞預(yù)防技術(shù)最近檢測(cè)到了 Win32k內(nèi)核驅(qū)動(dòng)中一個(gè)漏洞在被利用���,隨即調(diào)查了該利用行為的背后一整個(gè)網(wǎng)絡(luò)罪犯行為����。我們給微軟報(bào)告了這個(gè)漏洞(CVE-2021-40449)����,之后其在 10月 12號(hào)的常規(guī)更新中修補(bǔ)了它�。因此��,我們會(huì)像往常一樣在“補(bǔ)丁星期二”之后�,推薦盡快更新微軟 Windows。
█ CVE-2021-40449是用來(lái)做什么的
CVE-2021-40449是 Win32k驅(qū)動(dòng)的 NtGdiResetDC函數(shù)中的一個(gè)釋放后重用漏洞��。一份詳細(xì)的技術(shù)性描述可以在我們的Securelist帖子里看到��,但����,簡(jiǎn)而言之,該漏洞會(huì)導(dǎo)致計(jì)算機(jī)內(nèi)存中的內(nèi)核模塊地址泄露����。然后,網(wǎng)絡(luò)罪犯利用該泄漏來(lái)給另一個(gè)惡意進(jìn)程提權(quán)��。
通過(guò)提權(quán)操作����,攻擊者能夠下載并啟動(dòng)神秘蝸牛,一個(gè)能使攻擊者進(jìn)入受害者系統(tǒng)的遠(yuǎn)程訪問(wèn)木馬(RAT)��。
█ 神秘蝸牛做了什么
這種木馬先是收集被感染電腦的系統(tǒng)數(shù)據(jù)并發(fā)送給 C&C服務(wù)器。之后�,攻擊者就可以通過(guò)神秘蝸牛發(fā)送各種指令。例如����,他們能創(chuàng)建,讀取或者刪除特定的文件�����;創(chuàng)建或刪除一個(gè)進(jìn)程����;獲得一個(gè)目錄列表;亦或者打開(kāi)一個(gè)代理通道并通過(guò)它發(fā)送數(shù)據(jù)�。
神秘蝸牛還有其他一些包括查看連接的驅(qū)動(dòng)器列表,在后臺(tái)監(jiān)控外部驅(qū)動(dòng)器的連接情況�����,等等功能��。這木馬還可以啟動(dòng) cmd.exe交互式外殼(通過(guò)將cmd.exe文件復(fù)制到一個(gè)名字不一樣的臨時(shí)文件夾中)�。
█ CVE-2021-40449實(shí)施的攻擊
該漏洞的利用手段覆蓋了微軟 Windows各系列的一連串操作系統(tǒng)�。Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (build 17763), and Server 2019 (build 17763).據(jù)我們的專家所說(shuō)���,這種利用手段特別出現(xiàn)在服務(wù)器版本的操作系統(tǒng)提權(quán)當(dāng)中。
在檢測(cè)到威脅后����,我們的專家發(fā)現(xiàn),該漏洞及其加載到系統(tǒng)中的神秘蝸牛惡意軟件在針對(duì) IT公司��、外交組織和為國(guó)防工業(yè)工作的公司的間諜活動(dòng)中被廣泛使用�。
歸功于卡巴斯基威脅歸因引擎,我們的專家發(fā)現(xiàn)神秘蝸牛的代碼和功能與IronHusky組織使用的惡意軟件有相似之處�����。細(xì)思極恐���,一個(gè)中文 APT組織在 2012年使用了神秘蝸牛的一些 C&C服務(wù)器地址�����。
了解更多關(guān)于這次攻擊的信息���,包括對(duì)漏洞和入侵指標(biāo)的詳細(xì)描述,請(qǐng)參閱我們的Securelist帖子����。
█ 如何保持安全
從安裝微軟最新補(bǔ)丁開(kāi)始���,通過(guò)安裝強(qiáng)大的安全解決方案,在所有可以訪問(wèn)互聯(lián)網(wǎng)的計(jì)算機(jī)上主動(dòng)檢測(cè)并阻止對(duì)漏洞的利用��,在未來(lái)避免受到零日漏洞的打擊�。像卡巴斯基企業(yè)端點(diǎn)安全系統(tǒng)中的行為檢測(cè)引擎和漏洞預(yù)防技術(shù)技術(shù),檢測(cè)到了 CVE-2021-40449漏洞��。
