再現在野0day攻擊--BITTER APT攻擊事件
一、事件回顧
2020年2月24日,網路情報公司cyble釋出了一篇名為Bitter APT Enhances Its Capabilities With Windows Kernel Zero-day Exploit的文章,描述了APT組織BITTER在近期的攻擊活動中,使用windows 0day漏洞CVE-2021-1732進行本地提權的行為。該報告同時分析了一個BITTER在近期使用的後門木馬。
經分析和整理,cyble報告中所述的CVE-2021-1732漏洞,實際上最早由友商發現並披露,並且cyble報告中的漏洞相關的圖片內容也直接來自披露文章。cyble報告中提到的後門木馬,則是由分析組織Shadow Chaser Group發現和披露,該後門木馬的本體程式已被BITTER組織多次使用,曾出現在2019-2020年的攻擊活動中,分別由綠盟科技及其他廠商披露和分析。
目前,CVE-2021-1732漏洞已出現在野利用程式,利用程式碼也已在github公佈,但我們尚未發現該漏洞與上述後門木馬的直接聯絡,cyble報告中也未體現。由後門木馬的執行邏輯推斷,CVE-2021-1732漏洞利用程式碼可能在被攻擊的機器上遺留的攻擊元件中被發現。
二、漏洞簡述
2.1 情況簡介
CVE-2021-1732為微軟2月月度更新中修復的漏洞,根據微軟官方介紹該漏洞為可利用漏洞。2021年3月5日在github上出現對於CVE-2021-1732的公開利用程式,經驗證該程式可以在未打補丁的系統中實現漏洞利用。
圖1 CVE-2021-1732在Github公開的利用程式碼
圖2 CVE-2021-1732的利用效果
2.2 原理及觸發流程
CVE-2021-1732是win32kfull.sys中的一個越界寫漏洞,成功利用該漏洞可以實現本地提權。漏洞成因是在win32kfull!xxxCreateWindowEx回撥xxxClientAllocWindowsClassExtraBytes時產生,透過混淆console視窗和一般視窗,該回撥將導致核心物件的越界訪問。
圖3 漏洞觸發流程
三、涉及的攻擊工具簡要分析
此次事件報告中提及的樣本是一個WinRAR自解壓檔案,執行後釋放誘餌文件和可執行檔案。誘餌文件中並未填寫有效資訊,而是由人工輸入一些無效雜亂資料,由此推測該文件並不是一次真實攻擊中使用的文件。
圖4 誘餌文件內容
釋放的可執行檔案是一個簡單的下載者木馬,用於執行從CnC處下載的攻擊元件。該下載者木馬是BITTER組織的慣用木馬,至少在2019年就已經出現。該木馬元件與硬編碼CnC地址82.221.136.27通訊,傳送資訊,下載CnC處的攻擊載荷並執行。該木馬構建的首個HTTP請求中包含了收集到的宿主機資訊,各引數字元及內容對應如下:
表格1 主要載荷HTTP請求引數資訊對應
圖5 主要載荷通訊流量
在分析時該地址並未返回後續攻擊元件,我們透過關聯查詢到下載者木馬曾經下載並使用過的攻擊元件audiodq,該檔案同樣是一個簡單的Loader程式,曾在BITTER組織早期的攻擊活動中投入使用過,負責根據C2下發的任務,下載不同的模組到受感染機器中。
至今我們尚未找到對應在本次的攻擊活動中的audiodq關聯程式本體。伏影實驗室基於BITTER組織的持續跟蹤捕獲其樣本,積累並分析相關元件。如需閱讀漏洞原理、後續樣本分析請點選原文連結檢視。
四、IoC
參考連結
[1]https://cybleinc.com/2021/02/24/bitter-apt-enhances-its-capability-with-windows-kernel-zero-day-exploit/
[2]https://ti.dbappsecurity.com.cn/blog/index.php/2021/02/10/windows-kernel-zero-day-exploit-is-used-by-bitter-apt-in-targeted-attack-cn/
[3]https://twitter.com/ShadowChasing1/status/1362686004725866502
[4]http://blog.nsfocus.net/splinters-new-apt-attack-tool-dialysis/
https://ti.qianxin.com/blog/articles/Blocking-APT:-Qianxin's-QOWL-Engine-Defeats-Bitter's-Targeted-Attack-on-Domestic-Government-and-Enterprises/
[5]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1732
綠盟科技伏影實驗室
伏影實驗室研究目標包括Botnet、APT高階威脅,DDoS對抗,WEB對抗,流行服務系統脆弱利用威脅、身份認證威脅,數字資產威脅,黑色產業威脅及新興威脅。透過掌控現網威脅來識別風險,緩解威脅傷害,為威脅對抗提供決策支撐。
綠盟科技天機實驗室
天機實驗室專注於漏洞挖掘與利用技術研究。研究方向主要包括漏洞挖掘技術研究、漏洞分析技術研究、漏洞利用技術研究、安全防禦機制及對抗技術研究等。研究目標涵蓋主流作業系統、流行的應用系統及軟體、重要的基礎元件庫以及新興的技術方向。
相關文章
- APT攻擊APT
- 什麼是APT攻擊?APT攻擊有什麼主要特徵?APT特徵
- 【安全篇】APT攻擊是什麼?APT攻擊有哪些危害?APT
- APT攻擊備忘APT
- 【網路安全分享】APT攻擊常用的4種攻擊手段!APT
- FireEye遭APT攻擊?!針對企業的APT攻擊是如何發生的?APT
- APT攻擊有何變化?APT
- APT34攻擊全本分析APT
- 南亞APT組織Bitter正在針對中國的核能機構進行網路攻擊APT
- 攻擊不斷!QNAP 警告利用0day漏洞Deadbolt 勒索軟體攻擊
- 騰訊安全釋出《容器安全在野攻擊調查》
- 網路攻擊盯上民生領域,應對DDoS和APT攻擊,如何有效防禦?APT
- Hundred Finance 攻擊事件分析NaN事件
- 2019年度 APT攻擊回顧APT
- XXE攻擊攻擊原理是什麼?如何防禦XXE攻擊?
- 淺談DDOS攻擊攻擊與防禦
- 從SolarWinds攻擊事件中看安全事件
- 對某單位的 APT 攻擊樣本分析APT
- APT攻擊的危害是什麼?如何預防?APT
- 攻擊性
- 攻擊面管理預防網路攻擊原理?
- 分散式拒絕服務攻擊 DDoS攻擊分散式
- SQL隱碼攻擊式攻擊掃描器SQL
- 網路攻擊中主動攻擊和被動攻擊有什麼區別?
- SolarWinds供應鏈攻擊事件分析事件
- 區塊鏈安全————DAO攻擊事件解析區塊鏈事件
- 針對以色列和巴勒斯坦的apt式攻擊APT
- 追溯朝鮮APT組織Lazarus的攻擊歷程APT
- 攻擊JavaWeb應用[3]-SQL隱碼攻擊[1]JavaWebSQL
- 攻擊JavaWeb應用[4]-SQL隱碼攻擊[2]JavaWebSQL
- CC攻擊和DD攻擊的區別在哪裡
- Windows 核心攻擊Windows
- Mongodb注入攻擊MongoDB
- 網路攻擊
- web攻擊方式Web
- sql注入攻擊SQL
- SQL 注入攻擊SQL
- 前端攻擊手段前端