APT组织FruityArmor利用微软刚修补的漏洞发起攻击 黄金72小时的威力再次证明 攻防是在比谁更快

FruityArmor的高级持续性威胁(APT)组织,利用微软上周刚公布的0Day漏洞发起了攻击,攻击实现了浏览器沙箱逃逸,并执行了恶意代码,据卡巴斯基的报告称,受害者来自不同的国家,包括伊朗、阿尔及利亚、泰国、也门、沙特阿拉伯和瑞典。

上周二,微软认可卡巴斯基实验室研究员安东·伊万诺夫(Anton Ivanov)发现了这个漏洞。但是,直到今天,公众对这个漏洞的利用原理几乎一无所知,而且从被攻击的情况来看,在这个事情上,防守者再一次落在了攻击者的后面。威胁和漏洞的生命周期管理问题,再一次被提上了议程。

图中文字意思为:CVE-2016-3393(内核空间的代码执行)漏洞细节即将披露。

 

微软上周修复的4个零日漏洞

公告 ID

公告标题和执行摘要

最高严重等级和漏洞影响

受影响的软件

MS16-118

Internet Explorer 累积安全更新程序 (3192887)

严重 
远程代码执行

Microsoft Windows、
Internet Explorer

MS16-119

Microsoft Edge 累积安全更新程序 (3192890)

严重 
远程代码执行

Microsoft Windows、
Microsoft Edge

MS16-120

Microsoft 图形组件安全更新 (3192884)

严重 
远程代码执行

Microsoft Windows、Microsoft .NET Framework、
Microsoft Office、Skype for Business和 Microsoft Lync

MS16-121

Microsoft Office 安全更新程序 (3194063)

严重 
远程代码执行

Microsoft Office、
Microsoft Office Services 和 Web Apps

MS16-122

Microsoft Video Control 安全更新程序 (3195360)

严重 
远程代码执行

Microsoft Windows

漏洞CVE-2016-3393 MS16-120

漏洞CVE-2016-3393源于Windows图形设备接口(GDI)组件处理内存中对象的方式。GDI是Windows的一个应用编程接口,帮助应用程序在视频显示器和打印机上使用图形和格式化文本。

微软在公告MS16-120(微软将其标记为重要公告)中称,攻击者可通过多种方式利用这个漏洞:诱使用户打开受操纵文档,诱使用户访问受操纵网站并点击链接,或者诱使用户打开电子邮件附件。

据卡巴斯基实验室称,FruityArmor使用浏览器利用程序来执行恶意代码,以从浏览器沙箱中逃离并提升权限。根据伊万诺夫今天在Securelist贴出的相关博文,这个漏洞通过一个模块触发,这个模块在被解压时会加载一种特制的、包含利用程序的TTF字体。

FruityArmor使用的平台完全围绕PowerShell建立。PowerShell是基于微软的命令行外壳和脚本语言。该组织的初步恶意软件植入和操作者发送的命令都是用PowerShell写的。

图中文字意思为:恭喜@antonivanovm发现并向微软报告CVE-2016-3393(Windows图形组件RCE)漏洞!

 

植入之后,一个次级payload被以更高权限执行,以执行PowerShell并连接到攻击者的CC服务器。伊万说,从这一步开始,该组织就可以发送指令并下载更多的模块。

解压出恶意TTF字体的模块直接在内存中运行,并从内存中加载漏洞利用程序的代码。微软称,通过改善GDI处理内存中对象的方式,这个漏洞已被修复。该漏洞的详细技术分析见这里:https://securelist.com/blog/research/76396/windows-zero-day-exploit-used-in-targeted-attacks-by-fruityarmor-apt/ 

Windows Powershell是什么

Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。

它引入了许多非常有用的新概念,从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。

Windows PowerShell v3将伴随着MicrosoftHyper-V3.0和Windows Server 2012发布。PowerShell v3是一个Windows任务自动化的框架,它由一个命令行shell和内置在这个.NET框架上的编程语言组成。

PowerShell v3采用新的cmdlet让管理员能够更深入到系统进程中,这些进程可以制作成可执行的文件或脚本(script)。一条cmdlet是一条轻量命令,Windows PowerShell运行时间在自动化脚本的环境里调用它。Cmdlet包括显示当前目录的Get-Location,访问文件内容的Get-Content和结束运行进程的Stop-Process。

PowerShell v3在Windows Server 8中装载了Windows Management Framework 3.0。PowerShell运行时间也能嵌入到其它应用。

Windows Powershell越来越多的被攻击者利用

在过去的几个月里,一些恶意软件被发现利用PowerShell。8月,一个巴西银行木马(也是被卡巴斯基实验室发现的)被观察到利用PowerShell脚本来改变IE浏览器的代理设置,以重定向到钓鱼网页。上个月,FireEye的研究人员观察到,恶意下载器Hancitor利用PowerShell命令来获取payload并躲避检测。

今年早些时候,卡巴斯基实验室发现了两个Adobe Flash零日漏洞(CVE-2016-1010和CVE-2016-4171),以及一个Windows权限提升漏洞(CVE-2016-0165)。这家公司称,为避免其他攻击者采用该APT威胁的攻击方法,它没有贴出该APT威胁的更多细节。

伊万诺夫周四说,零日漏洞不被修复的时间越长,对攻击者的价值就越大。

“即使攻击者越来越倾向于使用现成的恶意软件,未修复的零日漏洞仍然是头等大奖,受有针对性的攻击者青睐。

对这类漏洞的需求,不太可能在将来消失。所以我们需要研究人员继续挖掘它们,需要能发现它们的防护技术,还需要软件开发者能快速推出修复补丁。保护客户是我们共同的责任。”

发表评论