快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

Hacking Team卷土重来?CVE-2018-5002 Flash 0day漏洞APT攻击阐发与关联

违景

360企业安全威胁情报中心近期拿获到了一例使用Flash 0day漏洞配合微软Office文档提议的APT攻击案例,攻击使用的样本首次使用了无Flash文件内置手艺(Office文档内不包含Flash实体文件)。我们在确认漏洞之后第一时间通知了厂商Adobe,成为国内第一个向厂商讲演此攻击及相干漏洞的构造,Adobe在昨日发布的安全通告中致谢了360威胁情报中心。

image.png

Adobe反馈确认漏洞存在并地下致谢

全部漏洞攻击过程高度工程化:攻击者将Loader(第一阶段用于下载Exploit的Flash文件)、Exploit(第二阶段漏洞行使代码)、Payload(第三阶段ShellCode)分别部署在服务器上,只有每阶段的攻击/检测成功才会继续下载执行下一阶段的代码,如许导致还原全部攻击流程以及漏洞行使代码变得无比难题。360威胁情报中心通过样本的特殊组织阐发、大数据关联、域名阐发,发现本次使用的相干漏洞攻击武器疑似与Hacking Team有关。

由于此漏洞及相应的攻击代码极有可能被黑产以及其他APT团伙改造之后行使来执行大规模的攻击,构成现实的威胁,因此,360威胁情报中心提醒用户采取应答措施。

相干漏洞概要

漏洞名称 Adobe Flash Player遥程代码执行漏洞
威胁类型 遥程代码执行
威胁等级
漏洞ID CVE-2018-5002
行使处景 攻击者通过网页下载、电子邮件、即时通信等渠道向受害者发送恶意组织的Office文件诱使其关上处理,可能触发漏洞在用户体系上执行任意指令获取控制。
受影响体系及应用版本 Adobe Flash Player(29.0.0.171及更早的版本)
不受影响影响体系及应用版本 Adobe Flash Player 30.0.0.113(修复后的最新版本)
修复及升级地址 https://get.adobe.com/flashplayer/

样本概况

从拿获到的攻击样本说话属性、CC服务器关联信息我们推断这是一块儿针对卡塔尔区域的APT攻击。样本于5月31日被上传到VirusTotal之后的几天内为0恶意检出的状态,直到6月7日也只有360公司的病毒查杀引擎将其识别为恶意代码,360威胁情报中心通过详尽的阐发发现了其中包含的0day漏洞的行使。

image.png

攻击阐发

通过对样本执行过程的跟踪记录,我们还原的样本总体执行流程以下:

image.png

包含Flash 0day的恶意文档总体执行流程

诱饵文档

攻击者起首向相干人员发送含有Flash ActiveX对象的Excel诱饵文档,诱骗受害者关上:

image.png

Flash ActiveX控件

而诱饵文档中包含了一个FlashActiveX控件:

image.png

但该FlashActiveX对象中并不包含实体Flash文件,需要加载的Flash文件通过ActiveX对象中的URL连接地址遥程加载,如许能无比好的藏避杀毒软件查杀:

image.png

通过Excel文档向遥程加载的Flash传递参数,其中包含了第二阶段Flash的下载地址和样本以及CC服务器的通讯地址:

image.png

第一阶段Flash

通过FlashActiveX对象中的URL连接地址下载归来一阶段的Flash文件,该Flash文件最首要的功能是继续以及遥程服务器通讯并下载归来使用AES加密后的第二阶段Flash文件:

image.png

获取第一阶段Flash文件

第二阶段Flash 0day

由于第一阶段的Flash会落地,所觉得了避免实施漏洞攻击的Flash代码被查杀或者被拿获,攻击者通过第一阶段的Flash Loader继续从服务器下载加密的攻击模块并内存加载。

从服务器返归的数据为[KEY+AES加密数据]的情势,第一阶段的Flash文件将返归的数据解密出第二阶段的Flash文件:

image.png

获取AES加密后的第二阶段Flash

解密出使用AES CBC模式加密的第二阶段的Flash文件:

image.png

接着内存加载第二阶段的Flash文件,第二阶段的Flash文件中则包含Flash0day漏洞行使代码:

image.png

第三阶段ShellCode

Flash 0day漏洞行使代码执行成功后再向服务器通过POST要求返归第三阶段的ShellCode并执行最后的攻击:

image.png

0day漏洞阐发

漏洞函数上下文

以下图所示漏洞的症结触发行使代码发生在replace函数中,漏洞触发成功后可以通过交换vector中的两个对象以转换为类型混淆来完成代码执行,函数执行前声明晰两个SafeStr_5,SafeStr_7类型的对象实例,并将这两个对象实例作为参数交替传入函数SafeStr_61中,一共256个参数,SafeStr_5,SafeStr_7类型各占128个:

image.png

SafeStr_5类以下所示:

image.png

SafeStr_7类以下所示:

image.png

Jit代码中生成对应的SafeStr_5类实例:

image.png

终极进入SafeStr_61宿世成的SafeStr_5,SafeStr_7类实例以下所示,其中前两个是全局声明的实例,后两个是replace中声明的实例,以后作为SafeStr_61参数传入:

image.png

进入SafeStr_61函数前:

image.png

SafeStr_61函数以下所示,起首创建了一个SafeStr_6的类实例(用于触发漏洞),及SafeStr_5,_SafeStr_7类型的vector,以后将参数交叉传入两个vector中:

image.png

接着最先vector赋值:

image.png

赋值以后以下所示:

image.png

漏洞成因

现在来看看用于触发漏洞的_SafeStr_6类实例,AS代码以下:

image.png

可以看到,由于Flash解析器处理对应的Try-Catch代码块时没有合理处理好异常处理代码的作用范围,解析器误认为不会有代码可以执行到Catch语句内,因此没有对Catch中代码对应的字节码进行检测,而该函数中的li8(123456)操作由于会触发异常并被Catch拿获,如许由于对Catch代码块中的代码缺乏检查,那么代码中的字节码通过setlocal,getlocal操作就可以完成对栈上数据的非法修改,终极将栈上两个对象指针的地位进行的替代,从而转化为类型混淆来完成任意代码执行!

漏洞行使

再来看看触发漏洞的代码上下文,其中_SafeStr_6即为上图所示触发漏洞的类实例代码:

image.png

以下所示可以看到对应SafeStr_5类型的vector中的一个对象的指针被修改成了SaftStr的对象指针,其寻址标记为0x1c1=449,即为上图中getlocal操作的变量:

image.png

以后将SafeStr_7类型的vector中的一个对象的指针修改成了SaftSt_5r的对象指针:

image.png

接着遍历SafeStr_5中的每一个对象的m_p1成员变量,获取对应修改为SafeStr_7指针的成员:

image.png

由于SafeStr_5对象被混淆成SafeStr_7,因此对该混淆的SafeStr_5对象的操作,实际上作用的是SafeStr_7的内存空间,此时通过配置SafeStr_5对象的m_p1变量,即可完成对SafeStr_7对象对应内存偏移的操作,而该偏移在SafeStr_7对象中指向了对应的SafeStr_5对象,此时至关于SafeStr_7.SafeStr_5.m_p1的操作受_SafeStr_5对象的m_p1对象的控制,从而完成指定地址读写,以后转化为任意代码执行:

image.png

溯源与关联

相似样本

结合该漏洞投递文件(Excel文档)插入Flash ActiveX控件的技巧(复合二进制bin+遥程Flash加载),360威胁情报中心通过大数据关联到另外一个使用相同技巧的投递Flash漏洞行使的文档控件文件(MD5:5b92b7f4599f81145080aa5c3152dfd9):

image.png

image.png

其内置的用于加载遥程Flash漏洞攻击的URL以下:

hxxps://mynewsfeeds.info/docs/P6KMO6/5v1z1p3r1p1o.swf

域名阐发

该域名在2015年到2016年初用于下载多个SWF Payload文件:

image.png

而该域名mynewsfeeds.info历史曾由marchaopn@gmail.com注册,在HackingTeam 2015年7月的泄露事故后,该域名做了隐衷维护:

image.png

结合360威胁情报平台,该域名也关联到CVE-2015-5119的漏洞行使样本,该漏洞一样也是Hacking Team泄露事故暴光的Flash 0day漏洞!

image.png

域名为Hacking Team所属

其中marchaopn@gmail.com邮箱注册的署名证书恰是Hacking Team所属:

image.png

和HackingTeam与客户的交流邮件中提到该域名以及邮箱的信息:

image.png

至此,360威胁情报中心通过本次泄露的0day漏洞行使样本的特殊组织方式找到一个高度相似的样本,而该样本则指向Hacking Team。

自Hacking Team泄露事故以来,网络黑客,其新的相干活动及其开发的间谍木马也被国外安全厂商以及资讯网站多次表露,证实其并没有完全销声匿迹。

关于Hacking Team

360威胁情报中心结合多方面的关联,列举本次0day攻击事故以及历史Hacking Team之间的一些对比:

l Hacking Team长期向多个情报机构或当局部门贩卖其收集间谍武器

l 在过去HackingTeam泄露资料中表明其对Flash 0day漏洞以及行使手艺有深挚的基础;而本次0day漏洞中的行使伎俩完成也是无比通用

l 本次0day漏洞的EXP制造方式以及漏洞行使上也与HackingTeam过去的一些行使相似

防护建议

360威胁情报中心提醒各单位/企业用户,谨慎关上来源不明的文档,并绝快通过修复及升级地址下载装置最新版Adobe Flash Player,也能够装置360安全卫士/天擎等防病毒软件工具以绝可能降低危害。

参考

[1].补丁公告:

https://helpx.adobe.com/security/products/flash-player/apsb18-19.html

[2].修复及升级地址:

https://get.adobe.com/flashplayer/

[3].与Hacking Team相干联的信息

https://www.virustotal.com/#/domain/mynewsfeeds.info

https://www.threatcrowd.org/domain.php?domain=mynewsfeeds.info

https://domainbigdata.com/mynewsfeeds.info

https://github.com/Rafiot/HackedTeamCerts/blob/master/SignCert/xx!_windows_marc_certum_201509.cer

https://www.cybereason.com/blog/hacking-team-hacked-team-leak-unleashes-flame-like-capabilities-into-the-wild

https://wikileaks.org/hackingteam/emails/emailid/15128

IOC

Excel文档
c8aaaa517277fb0dbb4bbf724245e663
第一阶段Flash文件
ee34f466491a5c5cd7423849f32b58f5
样本下载及通讯的URL
http://people.dohabayt.com/stab/65f6434672f90eba68b96530172db71a
http://people.dohabayt.com/photos/doc/65f6434672f90eba68b96530172db71a
http://people.dohabayt.com/download/65f6434672f90eba68b96530172db71a/
http://people.dohabayt.com/photos/doc/65f6434672f90eba68b96530172db71a

*

您可能还会对下面的文章感兴趣: