神秘APT组织利用IE和Firefox漏洞***中国和日本
作者:互联网
ang010ela 嘶吼专业版
日本国家互联网应急中心(JPCERT / CC)研究人员发现有APT组织利用今年已经修复的IE和Firefox中的2个漏洞对中国和日本发起***,这两个漏洞是CVE-2019-17026和CVE-2020-0674。CVE-2019-17026是Firefox浏览器中的安全漏洞,该漏洞已于今年1月发布了安全补丁。CVE-2020-0674是影响IE的安全***,微软已于1月修复了该安全漏洞。
***概述
***活动通过伪造的网站将用户重定向到***站点。
图1是受害者从访问被篡改的网站到重定向感染恶意软件的过程。
图1:恶意软件感染过程
受害者使用IE或Firefox浏览器访问恶意站点时,会被重定向到***站点后,会收到与访问的浏览器相对应的***代码。
图2是恶意软件根据浏览器做出决策的部分代码。
***活动同时针对32位和64位的操作系统,但是由于最终下载的恶意软件是为64的,所以可以理解为该***活动只***64位的操作系统。
图2:确定浏览器种类的JS代码
如果***成功,则将下载的***代码作为代理自动配置文件(PAC文件)。下载的***代码作为PAC文件执行,然后下载和执行恶意软件。
利用IE漏洞的***分析
图3是针对IE浏览器的部分***代码。
一般***活动下载的恶意软件的目标位置会嵌入在Shellcode中,但该***活动将要下载的恶意软件的URL嵌入在文件header中,研究人员分析认为这样做的目的可能是为了让修改***代码更加容易。
图3:IE 漏洞利用中的JS代码
代码执行的shellcode首先会检查其运行的进程名是否为svchost.exe。
图4是检查进程名的代码段。
图4:检查进程名的代码
如果进程名是svchost.exe,就下载并执行该恶意软件。如果进程名不是svchost.exe,则使用WinHttpGetProxyForUrl将***代码重新下载为PAC文件,如图5所示。PAC文件由svchost.exe执行,因此该恶意软件将在此时下载并执行(图6)。
图5:下载PAC文件的部分代码
图6:用于下载和执行恶意软件的代码段
在下载和执行恶意软件时,在非Windows 10以的环境中,仅执行图6中的代码;在Windows 10系统中执行代码,代码同时会进行提权,如图7所示。
图7:权限提升的代码段
利用Firefox漏洞的***分析
图8是***Firefox浏览器的代码。
Shellcode会***代码重新下载为PAC文件,与图5中的代码非常相似。此时下载的代码是IE的代码,而不是Firefox的***代码。执行后,PAC文件的行为与***IE浏览器类似。
图8:Firefo漏洞利用中的JS代码
感染的恶意软件
***成功后最终安装的恶意软件为Gh0st RAT。这次使用的Gh0st RAT代码和之前泄漏的Gh0st RAT源代码大多数是相同的,具体比较如图9所示。
图9:恶意软件和Gh0st RAT源代码的部分比较
(左:恶意软件代码;右:之前泄漏的Gh0st RAT源代码)
恶意软件通信过程中发送的数据是以固定值“ afxcbyzt”开头的,然后使用zlib压缩要发送的数据,并将前两个字节与0x88进行XOR运算。
图10:恶意软件发送的数据示例
结论
该***活动中针对IE浏览器的***影响Windows 7 x64(2019年12月发布的补丁程序)和Windows 8.1 x64(2020年1月发布的补丁程序)之前的所有版本。研究人员发现在Windows 10(2020年1月发布的补丁)系统上没有感染恶意软件感染。研究人员猜测***活动中使用的恶意代码可能和Windows 10系统不兼容。
参考及来源:
https://blogs.jpcert.or.jp/ja/2020/04/ie_firefox_0day.html
https://securityaffairs.co/wordpress/100960/hacking/ie-firefox-flaws.html
标签:Firefox,恶意软件,APT,PAC,浏览器,IE,代码,下载 来源: https://blog.51cto.com/u_15127538/2697192