卡巴斯基企業(yè)端點(diǎn)安全方案中的行為威脅檢測和利用預(yù)防技術(shù),已經(jīng)監(jiān)測到朝向多家企業(yè)的高針對性攻擊浪潮���。此類攻擊通過利用谷歌的 Chrome 瀏覽器和微軟 Windows 中的漏洞�����,發(fā)動一系列零日攻擊���。目前,隨著6月8日微軟發(fā)布更新���,針對該漏洞的補(bǔ)丁已經(jīng)可用��。因此我們建議大家同時(shí)更新瀏覽器和操作系統(tǒng)���。我們把這類攻擊幕后的黑手稱為 PuzzleMaker。
█ PuzzleMaker 攻擊為何如此危險(xiǎn)���?
攻擊者使用谷歌 Chrome 漏洞在目標(biāo)計(jì)算機(jī)上執(zhí)行惡意代碼�����,并通過利用兩個(gè) Windows 10 中的漏洞逃過“沙箱”,獲得系統(tǒng)權(quán)限�。接下來他們將第一個(gè)惡意模塊(即所謂的 stager)以及一個(gè)定制的配置塊(命令服務(wù)器地址����,會話ID�,下一個(gè)模塊的解密密匙等)一同上傳到受害者的機(jī)器�����。
感染成功后,stager 會通知攻擊者�,隨后下載并解密一個(gè) dropper 模塊�,dropper 模塊會安裝兩個(gè)可執(zhí)行文件�,并使其獲得合法身份�。第一個(gè)可執(zhí)行文件是 WmiPrvMon.exe,注冊為一個(gè)服務(wù),然后運(yùn)行第二個(gè)可執(zhí)行文件wmimon.dll�,這個(gè)文件是攻擊的主要 payload,被設(shè)計(jì)成了一個(gè)遠(yuǎn)程 Shell��。
攻擊者使用該 payload 將目標(biāo)計(jì)算機(jī)完全控制�����。他們可以上傳下載文件�����、創(chuàng)建進(jìn)程��、在指定的時(shí)間內(nèi)休眠�,甚至可以擦除機(jī)器上任何受攻擊的痕跡���。此惡意組件通過加密連接與命令服務(wù)器建立通信����。
█可攻擊的漏洞有哪些?
不幸的是����,我們的專家無法分析用于攻擊谷歌 Chrome的遠(yuǎn)程代碼執(zhí)行漏洞,但確實(shí)做了完整的調(diào)查并得出了結(jié)論:攻擊者可能利用了 CVE-2021-21224 漏洞。如果您對他們得出此結(jié)論的方法和原因感興趣,這里推薦您閱讀在 Securelist 上的這篇文章�����,了解有關(guān)他們推理過程的信息���。無論如何,在我們發(fā)現(xiàn)這波攻擊之后不到一周的時(shí)間里,谷歌就于2021年4月20日發(fā)布了針對此漏洞的補(bǔ)丁。
提升權(quán)限攻擊一次會利用兩個(gè) Windows 10 漏洞。第一個(gè)是CVE-2021-31955 漏洞�,它是 ntoskrnl.exe 文件中的信息泄露漏洞���。該攻擊利用它來確定已執(zhí)行進(jìn)程的 EPROCESS 結(jié)構(gòu)內(nèi)核的地址�。第二個(gè)漏洞 CVE-2021-31956 在ntfs.sys驅(qū)動程序里���,屬于堆溢出類漏洞�����。Malefactors 將其與 Windows 通知工具一起用來將數(shù)據(jù)讀取和寫入內(nèi)存��。此漏洞適用于最常見的 Windows 10 版本: 17763 (紅石5) �、18362 (19H1) ��、18363 (19H2) �����、19041 (20H1) 和19042 (20H2)��。19043 (21H1) 也很容易受到攻擊,雖然我們的技術(shù)尚未檢測到針對此版本的攻擊,但該版本是在我們檢測到 PuzzleMaker 之后發(fā)布的����。Securelist 上的一篇文章給出了詳細(xì)的技術(shù)說明���,并列出了妥協(xié)指標(biāo)(IOC)��。
█防止此類攻擊及類似的攻擊
為了避免您的企業(yè)遭到 PuzzleMaker 的漏洞攻擊�����,請第一時(shí)間更新 Chrome 并通過微軟的網(wǎng)頁安裝可以解決 CVE-2021-31955 和 CVE-2021-31956 漏洞的操作系統(tǒng)補(bǔ)丁��。
也就是說����,為了避免其他零日漏洞的威脅,各類企業(yè)都應(yīng)該使用網(wǎng)絡(luò)安全產(chǎn)品���,以通過分析可疑行為來檢測這種攻擊企圖。比如����,我們的產(chǎn)品通過使用卡巴斯基企業(yè)端點(diǎn)安全中的行為檢測引擎技術(shù)與攻擊預(yù)防子系統(tǒng),對此類攻擊進(jìn)行偵測�。
