以藍軍視角跟蹤和分析CANVAS攻擊框架洩露事件

3月3日，綠盟科技研究團隊在對網路安全事件輿情監控中發現著名的商業滲透框架CANVAS系統原始碼發生洩露，綠盟科技M01N藍軍研究團隊第一時間對該事件進行了跟蹤，快速分析了CANVAS的攻擊框架、所涉及的漏洞和技術細節。

Immunity CANVAS是一套受信任的商業安全評估攻擊框架，每月都會發布穩定版本，它允許專業人員進行滲透測試和對手模擬攻擊。此次CANVAS的洩露版本為7.26，日期為2020年9月，包含1000+個漏洞利用程式碼，使用CANVAS成功攻陷系統後，可以抓取螢幕截圖，轉儲密碼憑據，操縱目標檔案系統並提升特權。攻擊者可以在目標系統和目標整個網路區域之間隱蔽連線。另外值得注意的是其中包含Spectre CPU漏洞的可用EXP漏洞利用模組。CANVAS由Immunity開發，該公司由前NSA駭客Dave Aitel創立，然後於2019年出售給CyxteraTechnologies，Aitel於2020年底離開了該公司。

1 CANVAS的框架及主體功能

CANVAS框架主體及模組均使用python開發，支援跨平臺安裝使用，包括Windows, Linux和MacOSX等, 提供了GUI和命令列來進行操作使用。框架所有功能模組如下：

CANVAS主要以漏洞利用為主，功能完整支援攻擊鏈生命週期，包括C&C、許可權提升、許可權維持、憑證獲取、橫向移動、防禦規避、資訊收集、隱蔽隧道及部分域林攻擊功能。框架設計以資產節點方式進行攻擊過程控制和記錄，各節點的遠端及本地攻擊操作具備完善的攻擊日誌記錄。

遠端漏洞利用、橫向移動及C&C功能復現：

成功執行DCSync在測試環境獲取AD靶機使用者的密碼Hash。

同時CANVAS作為一款成熟的商業安全評估攻擊框架，具有自動化生成安全評估報告的功能，並且報告擁有良好的可閱讀性。

2  漏洞利用模組

2.1

本次洩漏的CANVAS框架原始碼為次新版本，除自帶漏洞利用模組外還包含兩大第三方漏洞利用模組，經統計含有CVE編號的漏洞共計929個，框架自帶漏洞利用庫中包括617個漏洞，第三方漏洞利用庫包含333個漏洞，官網上針對工控裝置的漏洞利用包Gleg 在本次洩漏中未涉及。

這些漏洞模組在CANVAS中以利用目的大致分為四類，分別針對不同的攻擊場景與目標。

2.2

首先我們回顧一下CVE-2017-5715 Spectre CPU漏洞，該漏洞是Intel，AMD和ARM處理器體系結構中的硬體設計缺陷，它允許執行在同一系統上的不良應用程式中的程式碼破壞不同應用程式的CPU級別之間的隔離，然後從其他應用程式中竊取敏感資料。它的發現以及Meltdown漏洞，被認為是現代CPU演進和歷史上的里程碑時刻，有效地迫使CPU供應商重新考慮他們設計處理器的方法，從而明確表明他們不能只專注於效能，而損害了資料安全性。Spectre漏洞從17年被公開開始，研究人員對外公開的均為無害的POC程式碼，也一直沒有發現有被在野攻擊利用的證據。

上個月國外安全研究員Voisin發現VirusTotal上的一份Linux Spectre漏洞EXP程式碼，可以轉儲/etc/shadow的內容，而近日Dave Aitel的一條推文中，前Immunity執行長似乎證實了Voisin的發現確實是他的前公司在2018年2月大力宣傳的CANVAS Spectre模組。

當然我們也確認了本次洩露的CANVAS版本確實含有Spectre漏洞EXP外掛及程式碼，程式碼備註該EXP程式碼實現在2018年3月完成。

3 其他重要功能模組

3.1 MOSDEF

MOSDEF後門木馬是CANVAS在命令控制環節的主要模組，其支援主流作業系統，對於一些較冷門的處理器架構亦有較完善的支援。

以防禦規避技術研究與攻擊檢測的視角來看，MOSDEF具有基本的殺軟規避功能，支援採用DNS等比較隱蔽的通訊方式，具有一定防禦規避的能力。其採用的持久化技術等較為常見，所生成的payload型別並不多，但其生成的一些載荷檔案在VirusTotal等平臺仍具有較好的免殺效果。

根據VirusTotal檢測結果，預設生成的Windows x86 版本MOSDEF可執行檔案載荷的檢出率相對可觀。

Powershell版MOSDEF木馬具有命令執行、檔案上傳、執行shellocode等攻擊功能，在VisualTotal中具有較低的檢出率。

3.2 RootKit

CANVAS自帶windows與linux系統的rootkit模組，其中windows系統僅有實體記憶體dump的功能，而linux系統中的rootkit功能要豐富的多。linux平臺的rootkit模組以原始碼的形式分發，每次使用需要針對目標的核心版本進行重新編譯核心模組，支援以下功能：

1.      指定名稱的檔案隱藏

2.      後門程式及子程式PID隱藏

3.      TCP通訊隱藏

4.      MOSDEF連線後門

利用CANVAS自帶的rootkit模組，攻擊者可以實現持久化與攻擊行為隱藏，增加防守與溯源難度。

3.3 VisualSploit

洩漏CANVAS包含名為VisualSploit的視覺化程式設計工具，該工具可以進行圖形化的exploit開發，設計程式執行流程，操作payload記憶體佈局，最終一鍵生成可執行python指令碼檔案。

3.4

Canvas Strategic允許在Canvas的多個例項之間進行實時通訊，並與中央例項共享資訊（目標資訊，攻擊操作，獲得的許可權），該中央指揮例項是從Canvas執行Commander模組的機器。當多人作戰時，需要對進度和成果進行協協作時，此功能特別有用。此外，它還可以用作多個例項的中央活動監視和日誌記錄，也包含一個簡單聊天伺服器。

4  警惕CANVAS被暴露及濫用帶來的風險

本次CANVAS框架原始碼洩露事件是繼NSA洩露DanderSpritz框架後的又一個完整網路攻擊框架洩露事件，其中所涉及的TTPs技術已被高度武器化。截止本文公開時我們還暫未實現對CANVAS中的漏洞EXP、持久化技術、隧道技術等技術的全面深入的分析。同時可以看到，本次洩露的漏洞EXP包含全網第一個被公開的針對Spectre CPU漏洞的可利用EXP，另外Powershell版MOSDEF木馬在VisualTotal中也同樣具有較低的檢出率，這些工具都可以直接被惡意攻擊者濫用，從而導致嚴重的安全事故，建議各安全廠商協助企業客戶積極防禦，防患於未然。綠盟科技M01N藍軍團隊將繼續跟蹤深入分析該框架的內容。

參考連結

https://www.immunityinc.com/products/canvas/index.html

https://spectreattack.com/