显然,攻击者利用“白俄罗斯总统选举后爆发的大规模活动并逮捕大量人员”发动网络攻击。
攻击者利用此前从未公开过的JS引擎解析漏洞CVE-2020-0968进行攻击。该漏洞一度被微软视为未利用。使用unknown 1day表明这次攻击者有非常高的技术实力或者经济实力(花钱买漏洞)。它利用的木马使用了一个名为“Domino”的特殊功能,因此我们将此活动命名为“Operation Domino”。
二.攻击概述
该文档利用未公开利用代码的CVE-2020-0968漏洞加载远程恶意木马。其攻击手段专业,下载的木马具有合法的数字签名。除了传统的木马功能外,它还会修复现有的漏洞。乍一看,文档看起来像是一个专业团队。
三.武器详细分析
样本以嵌入URL Moniker的rtf文档为载体,远程加载位于http://94.156.174[.]7/up/a1a.htm的网页文件。
远程加载的网页文件嵌入了一个jscript 漏洞,该漏洞最初被发现是在野外被利用的。
猎鹰实验室对该漏洞进行分析后发现,该漏洞为IE浏览器jscript.dll模块中的UAF漏洞。当jscript在处理两个对象(type=0x81)的加法操作时,CScriptRuntime:Run会连续调用VAR:GetValue两次来获取对应的值。开发者并没有将期间保存到栈中的variant变量添加到GC跟踪列表中。如果对象实现了自定义的toString方法,VAR:GetValue将进一步调用NameTbl:InvokeInternal函数。该函数可以调用自定义的toString。在第二个VAR:GetValue引起的回调中,可以手动释放相关的variant变量。当回调函数返回时,CScriptRuntime:Run将再次使用已发布的变体导致UAF。
通过补丁分析,可以确认该漏洞出现在双星漏洞(CVE-2020-0674)之后,并在2020年4月补丁中修复。
值得注意的是,2020年4月,微软确实修复了一个“严重”级别的IE漏洞,并在最初发布时将其标记为“Exploited: Yes”,但随后微软将其更改为“Exploited: No”。该事件也引起了当时安全研究人员的讨论:
结合修复时间和上述信息,我们合理推断本次攻击所利用的漏洞为CVE-2020-0968 Jscript远程代码执行漏洞。此次攻击中的漏洞利用方式与之前出现的Jscript UAF漏洞相同。首先利用该漏洞泄露RegExp对象的地址,然后利用RegExp对象伪造超长的BSTR,并利用BSTR数组实现越界读取。在此基础上伪造一个假的RegExpObj对象,最后利用正则引擎实现任意地址读写和ShellCode执行。
ShellCode执行成功后,会从远程地址http://94.156.174[.]7/up/a1a.dll下载附加模块,解密并执行。解密方法是简单的异或,密钥是“weHnh”。解密后的dll文件中包含一个名为“Domino”的导出函数,判断该函数为主功能函数。
Dll样本会找到自己的rtf/doc文档,找到“{\object\\objemb.}”的内容并将其删除,而这部分内容就是嵌入的URL Moniker数据。
删除URL Moniker 后,dll 会再次打开文档。至此,原来的文档已经被修改成了干净的文档。
随后,Dll将执行嵌入的EXE程序,
EXE 后门使用打印机图标将自己伪装成Microsoft Windows 传真和扫描程序。它包含有效的数字证书,签名者信息为“Sizg Solutions GmbH”。 EXE程序通过VMP打包,输入表被加密:
后门启动后,会创建一个窗口标题为“8Wsa1xVPfvJcrgRY”、类名为“frAQBc”的窗口。
然后进入消息循环机制。大多数恶意函数都是在窗口处理函数WindowProc中实现的。当窗口收到窗口创建消息WM_CREATE时,后门会发送自定义消息来触发其他关键恶意进程:
大部分消息码对应的功能统计如下:
动态获取API地址后,通过wmi命令获取各种操作系统、硬件、用户信息等信息
大量不同的密钥用于使用XOR 算法对HTTP 通信进行解密。构造Post请求的数据包需要HTTP头信息。
通信数据采用AES加密,后门内置3组密钥。不同的功能模块使用不同的密钥来处理数据。
由于该后门受到VMP保护,内部混淆严重,对分析造成了很大干扰。目前分析发现的主要功能包括:
收集的用户信息加密上传
截取用户桌面并自行更新
四.关联猜想
五.总结
网络秘密战在政治和军事博弈中发挥着关键作用。在政治军事情报系统的运行过程中,从收集信息到攻击网络空间基础设施,它都能发挥出意想不到的作用。
就像本次事件中使用的DLL的功能“Domino”一样,在推动了第一步之后,Domino带来的连锁反应导致了一系列引导性的变化。让我们再想一想。 20世纪50年代,美国总统艾森豪威尔首先提出的多米诺骨牌理论,对于当时的东南亚来说是一个非常重要的理论。东南亚国家的政治倾向只要首次出现,该地区就会受到影响。其他国家就会像多米诺骨牌一样,一个接一个地向一个方向倾斜。它的使用在现在的情况下也是非常合适的。
这是首次发现疑似野外利用的CVE-2020-0968漏洞,表明攻击组织具有一定的能力。鉴于“Domino”功能的特殊性,我们将该事件命名为“Domino操作”。
六.IOC
60981545a5007e5c28c8275d5f51d8f0
7fce761a343ceb15126e7d8f6314c4ed
67b5d793cf4b0a1ddef756c42af47c8
ba1fa3cc9c79b550c2e09e8a6830e318
f927659fc6f97b3f6be2648aed4064e1
94.156.174[.]7
185.243.112[.]57
用户评论
妄灸
哇,这个CVE20200968漏洞听起来好严重,希望我的系统没有受到影响。
有14位网友表示赞同!
莫飞霜
远程代码执行漏洞,这可是个大问题啊!得赶紧检查一下我的设备。
有13位网友表示赞同!
来自火星球的我
首次发现并利用,看来黑客技术又进步了,咱们要提高警惕啊。
有5位网友表示赞同!
陌颜幽梦
这个漏洞居然首次被发现就被利用了,安全防护真是任重道远。
有9位网友表示赞同!
微信名字
每次看到这样的漏洞都心惊胆战,希望企业和个人都能加强防范。
有18位网友表示赞同!
一尾流莺
远程代码执行漏洞,听起来像是电影里的桥段,没想到现实中也有。
有11位网友表示赞同!
恰十年
我得赶紧给我的电脑系统打上补丁,免得成了黑客的目标。
有19位网友表示赞同!
走过海棠暮
这CVE20200968漏洞的发现,让我意识到网络安全的重要性。
有19位网友表示赞同!
◆残留德花瓣
黑客总能找到新的漏洞,看来我们需要不断提升自己的安全意识。
有13位网友表示赞同!
有你,很幸福
首次发现就有人利用,这漏洞的威胁程度可见一斑。
有17位网友表示赞同!
醉婉笙歌
远程代码执行漏洞,听起来就像是打开了电脑的后门,让人不寒而栗。
有12位网友表示赞同!
夏以乔木
希望这次漏洞的发现能让更多的人重视网络安全,别让黑客得逞。
有8位网友表示赞同!
陌離
CVE20200968漏洞的利用,让我对网络安全有了更深的认识。
有15位网友表示赞同!
安好如初
每次看到这样的漏洞,都感觉自己的电脑就像是一块巨大的奶酪,等着被偷。
有17位网友表示赞同!
你是梦遥不可及
远程代码执行漏洞,得赶快学习一下如何防范,不能让黑客有机可乘。
有11位网友表示赞同!
陌上花
这个漏洞的发现,让我意识到安全防护的每一个细节都不能忽视。
有14位网友表示赞同!
留我一人
希望这次CVE20200968漏洞的发现,能推动更多的安全措施出台。
有8位网友表示赞同!
全网暗恋者
远程代码执行漏洞,得提醒身边的亲朋好友,大家都要提高警惕。
有15位网友表示赞同!
肆忌
首次发现并利用,这个漏洞的传播速度可能很快,大家要尽快采取措施。
有20位网友表示赞同!