我们最近发现了一个 Google Chrome 的零日漏洞 (CVE-2022-2294),此漏洞在野外被利用,企图攻击中东的 Avast用户。具体而言,大部分攻击发生在黎巴嫩,其中不少是针对记者的。
该漏洞是一种 WebRTC 的内存损坏,攻击者利用它实现了在 Chrome 渲染进程中执行 shellcode。我们将这个漏洞报告给了 Google,他们于
2022 年 7 月 4 日进行了修补。
根据这次攻击中使用的恶意软体和战术,我们可以自信地将其归因于一家名为 Candiru 的神秘间谍软体供应商。(这个名字是威胁行为者自己选的,以一种可怕的
) 为灵感。)
在 2021 年 7 月,Candiru 被
和
曝光后,这家公司藏身数月,最可能的原因是他们在更新恶意软体以逃避现有的检测。我们看到他们于 2022 年 3月再次出现,使用零日漏洞对位于黎巴嫩、土耳其、也门和巴勒斯坦的 Avast 用户发动饮水孔攻击。我们相信这些攻击具有高度针对性。
漏洞利用与防护
此次有多个攻击活动,每个活动以不同的方式将漏洞传递给受害者。
在黎巴嫩,攻击者似乎已经入侵了一个被新闻机构员工使用的网站。我们无法确定攻击者究竟想要什么,但攻击者经常针对记者,旨在监视他们及其正在撰写的故事,或获取他们的消息来源,以及他们与媒体分享的敏感信息。
有趣的是,被入侵的网站中包含持久性 XSS 攻击的蛛丝马迹,存在一些页面调用了 Javascript 函数 alert,跟随著像 test
的关键字。我们猜测这是攻击者在测试 XSS 漏洞,最终通过注入一段代码实现了真正的利用,该代码从攻击者控制的域加载恶意
Javascript。这段注入的代码负责将预定的受害者(且仅仅是预定的受害者)导向漏洞伺服器,并透过其他一些攻击者控制的域进行路由。
恶意代码注入到被入侵的网站,从
stylishblock[.]com 加载进一步的 Javascript
一旦受害者访问漏洞伺服器,Candiru 会收集更多信息。受害者浏览器的配置档,包括约 50个数据点,会被收集并发送给攻击者。所收集的信息包括受害者的语言、时区、萤幕信息、设备类型、浏览器插件、引用来源、设备内存、Cookie功能等等。我们推测这是为了进一步保护利用程式,并确保它只传递给目标受害者。如果收集到的数据满足漏洞伺服器的要求,它会使用 RSA-2048与受害者交换加密密钥。这个加密密钥使用 AES-256-CBC 与受害者建立一个加密通道,透过该通道将零日漏洞传递给受害者。这个加密通道是基于 TLS建立的,有效地隐藏了漏洞,即使是那些想要解密 TLS 会话以捕获明文 HTTP 流量的人也无法识别。
漏洞与弱点
我们设法捕捉到一个利用了 WebRTC 中的堆缓冲区溢出以实现渲染进程内部 shellcode执行的零日漏洞。此零日漏洞与一个沙盒逃逸漏洞连锁,但后者不幸地受到进一步保护,我们无法恢复它。我们从渲染器漏洞中提取了一个 PoC 并发送给 Google的安全团队。他们修补了这个漏洞,并赋予它 ,并在 Chrome 版本
103.0.5060.114(稳定通道)中发布了修补程式。
尽管该漏洞是专门针对 Windows 上的 Chrome 设计的,但其潜在影响更广泛。由于根本原因位于 WebRTC 中,这个漏洞影响了不仅是其他基于
Chromium 的浏览器(如微软 Edge),还包括其他浏览器,如苹果的 Safari。我们不知道 Candiru 是否开发了针对 Chrome以外的其他浏览器的漏洞利用,但这是有可能的。我们的 Avast Secure Browser 于 7 月 5 日进行了修补。微软在 7 月 6 日采用了
Chromium 的修补程序,而苹果在 7 月 20 日为 Safari 发布了 。我们鼓励所有其他 WebRTC 整合商尽快进行修补。
在漏洞链的最终阶段,恶意载荷(称为
,一种完整的间谍软体)试图通过另一个零日漏洞进入内核。这次,它的目标是一个
,以
(带上你自己的脆弱驱动)的方式进行。请注意,为了利用该驱动,必须先将其放置到档案系统中(Candiru 使用的路径是
C:\Windows\System32\drivers\HW.sys),然后再进行加载,这就提供了一个良好的检测机会。
该驱动通过 IOCTL 请求被利用。特别是,有两个易受攻击的 IOCTL:0x9C40648C 可用于读取物理内存,0x9C40A4CC
可用于写入物理内存。我们将这一点报告给驱动的开发者,他们承认了这个漏洞,并宣称正在著手修补。不幸的是,这项修补无法阻止攻击者,因为他们可以继续利用旧的,未修补的驱动。我们还在讨论可能的撤销,但那也不是万能的解决方案,因为
Windows 不总是检查驱动的撤销状态。驱动封锁似乎是目前最佳的解决方案。
其中一个易受攻击的
ioctl 处理程序
尽管我们无法确定其他团体是否也利用了 WebRTC漏洞,但这是有可能的。有时候,零日漏洞会由多个团体独立发现,有时则是某人将相同的漏洞/利用出售给多个团体等等。但我们没有任何迹象表明有其他团体在利用这同一个零日漏洞。
由于 Google 迅速在 7 月 4 日修补了这个漏洞,Chrome 用户只需在浏览器提示他们「重新启动以完成应用更新」时单击按钮即可。其他大多数基于
Chromium 的浏览器用户,包括 Avast Secure Browser,也应按照相同程序操作。Safari 用户应更新至版本 15.6。
侵害指标 (IoCs)
基础设施
域名
bad-shop[.]net
bestcarent[.]org
core-update[.]com
datanalytic[.]org
expertglobal[.]org
only-music[.]net
popsonglist[.]com
querylight[.]net
smartstand[.]org
stylishblock[.]com
webs-update[.]com
档案系统
DevilsTongue 路径
C:\Windows\System32\migration\netiopmig.dll
C:\Windows\System32\migration\sppvmig.dll
C:\Windows\System32\migration\spvmig.dll
C:\Windows\System32\ime\imejp\imjpueact.dll
C:\Windows\System32\ime\imejp\imjpuexp.dll
C:\Windows\System32\ime\imetc\imtcprot.dll
C:\Windows\System32\ime\shared\imccphd.dll
C:\Windows\System32\ime\shared\imebrokev.dll
C:\Windows\System32\ime\shared\imecpmeid.dll
C:\Windows\System32\ime\shared\imepadsvd.dll
C:\Windows\System32\migration\imjprmig.dll
C:\Windows\System32\wbem\dmwmibridgeprov132.dll
C:\Windows\System32\wbem\esscli32.dll
C:\Windows\System32\wbem\netdacim32.dll
C:\Windows\System32\wbem\netpeerdistcim32.dll
C:\Windows\System32\wbem\viewprov32.dll
C:\Windows\System32\wbem\vsswmi32.dll
C:\Windows\System32\wbem\wbemcore32.dll
C:\Windows\System32\wbem\wbemdisp32.dll
C:\Windows\System32\wbem\wbemsvc32.dll
C:\Windows\System32\wbem\wfascim32.dll
C:\Windows\System32\wbem\win32_encryptablevolume32.dll
C:\Windows\System32\wbem\wmiaprpl32.dll
C:\Windows\System32\drivers\HW.sys
C:\Windows\System32\drivers\HW.sys.dat
所有 .dll 档案可能出现附加的 .inf
扩展名(例如,C:\Windows\System32\migration\netiopmig.dll.inf)
被劫持的 CLSIDs ()
注册表键 | 合法的默认值
—|—
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 | %systemroot%\system32\wbem\wbemprox.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4FA18276-912A-11D1-AD9B-00C04FD8FDFF}\InprocServer32 | %systemroot%\system32\wbem\wbemcore.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32 | %systemroot%\system32\wbem\wbemsvc.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 | %systemroot%\system32\wbem\wmiutils.dll
IoCs 也可在我们的 中找到。
标签:、、、、
分享:XFacebook
