再現在野0day攻擊--BITTER APT攻擊事件

綠盟科技發表於2021-03-24

一、事件回顧

2020年2月24日,網路情報公司cyble釋出了一篇名為Bitter APT Enhances Its Capabilities With Windows Kernel Zero-day Exploit的文章,描述了APT組織BITTER在近期的攻擊活動中,使用windows 0day漏洞CVE-2021-1732進行本地提權的行為。該報告同時分析了一個BITTER在近期使用的後門木馬。

經分析和整理,cyble報告中所述的CVE-2021-1732漏洞,實際上最早由友商發現並披露,並且cyble報告中的漏洞相關的圖片內容也直接來自披露文章。cyble報告中提到的後門木馬,則是由分析組織Shadow Chaser Group發現和披露,該後門木馬的本體程式已被BITTER組織多次使用,曾出現在2019-2020年的攻擊活動中,分別由綠盟科技及其他廠商披露和分析。

目前,CVE-2021-1732漏洞已出現在野利用程式,利用程式碼也已在github公佈,但我們尚未發現該漏洞與上述後門木馬的直接聯絡,cyble報告中也未體現。由後門木馬的執行邏輯推斷,CVE-2021-1732漏洞利用程式碼可能在被攻擊的機器上遺留的攻擊元件中被發現。

二、漏洞簡述

2.1  情況簡介

CVE-2021-1732為微軟2月月度更新中修復的漏洞,根據微軟官方介紹該漏洞為可利用漏洞。2021年3月5日在github上出現對於CVE-2021-1732的公開利用程式,經驗證該程式可以在未打補丁的系統中實現漏洞利用。

IMG_256再現在野0day攻擊--BITTER APT攻擊事件

圖1 CVE-2021-1732在Github公開的利用程式碼

再現在野0day攻擊--BITTER APT攻擊事件

圖2 CVE-2021-1732的利用效果

2.2 原理及觸發流程

CVE-2021-1732是win32kfull.sys中的一個越界寫漏洞,成功利用該漏洞可以實現本地提權。漏洞成因是在win32kfull!xxxCreateWindowEx回撥xxxClientAllocWindowsClassExtraBytes時產生,透過混淆console視窗和一般視窗,該回撥將導致核心物件的越界訪問。

再現在野0day攻擊--BITTER APT攻擊事件

圖3 漏洞觸發流程

三、涉及的攻擊工具簡要分析

此次事件報告中提及的樣本是一個WinRAR自解壓檔案,執行後釋放誘餌文件和可執行檔案。誘餌文件中並未填寫有效資訊,而是由人工輸入一些無效雜亂資料,由此推測該文件並不是一次真實攻擊中使用的文件。

IMG_259再現在野0day攻擊--BITTER APT攻擊事件

圖4 誘餌文件內容

釋放的可執行檔案是一個簡單的下載者木馬,用於執行從CnC處下載的攻擊元件。該下載者木馬是BITTER組織的慣用木馬,至少在2019年就已經出現。該木馬元件與硬編碼CnC地址82.221.136.27通訊,傳送資訊,下載CnC處的攻擊載荷並執行。該木馬構建的首個HTTP請求中包含了收集到的宿主機資訊,各引數字元及內容對應如下:

再現在野0day攻擊--BITTER APT攻擊事件

表格1 主要載荷HTTP請求引數資訊對應

IMG_261再現在野0day攻擊--BITTER APT攻擊事件

圖5 主要載荷通訊流量

在分析時該地址並未返回後續攻擊元件,我們透過關聯查詢到下載者木馬曾經下載並使用過的攻擊元件audiodq,該檔案同樣是一個簡單的Loader程式,曾在BITTER組織早期的攻擊活動中投入使用過,負責根據C2下發的任務,下載不同的模組到受感染機器中。

至今我們尚未找到對應在本次的攻擊活動中的audiodq關聯程式本體。伏影實驗室基於BITTER組織的持續跟蹤捕獲其樣本,積累並分析相關元件。如需閱讀漏洞原理、後續樣本分析請點選原文連結檢視。

四、IoC

再現在野0day攻擊--BITTER APT攻擊事件

參考連結

[1]https://cybleinc.com/2021/02/24/bitter-apt-enhances-its-capability-with-windows-kernel-zero-day-exploit/

[2]https://ti.dbappsecurity.com.cn/blog/index.php/2021/02/10/windows-kernel-zero-day-exploit-is-used-by-bitter-apt-in-targeted-attack-cn/

[3]https://twitter.com/ShadowChasing1/status/1362686004725866502

[4]http://blog.nsfocus.net/splinters-new-apt-attack-tool-dialysis/

https://ti.qianxin.com/blog/articles/Blocking-APT:-Qianxin's-QOWL-Engine-Defeats-Bitter's-Targeted-Attack-on-Domestic-Government-and-Enterprises/

[5]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1732

綠盟科技伏影實驗室 

伏影實驗室研究目標包括Botnet、APT高階威脅,DDoS對抗,WEB對抗,流行服務系統脆弱利用威脅、身份認證威脅,數字資產威脅,黑色產業威脅及新興威脅。透過掌控現網威脅來識別風險,緩解威脅傷害,為威脅對抗提供決策支撐。

綠盟科技天機實驗室 

天機實驗室專注於漏洞挖掘與利用技術研究。研究方向主要包括漏洞挖掘技術研究、漏洞分析技術研究、漏洞利用技術研究、安全防禦機制及對抗技術研究等。研究目標涵蓋主流作業系統、流行的應用系統及軟體、重要的基礎元件庫以及新興的技術方向。

相關文章