Наш ассоциированный член www.Bikinika.com.ua

  • Главная
    • /
  • Блог
    • /
  • Операція GreedyWonk: декілька економічних та зовнішньополітичних сайтів, які піддаються компрометуванню, обслуговуючи Flash Zero-Day Exploit

Операція GreedyWonk: декілька економічних та зовнішньополітичних сайтів, які піддаються компрометуванню, обслуговуючи Flash Zero-Day Exploit

  1. Відкриття
  2. Зменшення впливу
  3. Аналіз вразливості
  4. Обхід ASLR
  5. Аналіз коду
  6. Аналіз корисного навантаження PlugX / Kaba
  7. Аналіз кампанії
  8. Висновок

Менше ніж через тиждень після розкриття Операція SnowMan Хмара FireEye Dynamic Threat Intelligence визначила ще одну цілеспрямовану кампанію - це те, що використовує нульову вразливість у Flash. Ми співпрацюємо з безпекою Adobe у цьому питанні. Adobe призначив CVE-ідентифікатор CVE-2014-0502 цій уразливості і випустив a бюлетень безпеки .

На момент публікації цього блогу відвідувачі принаймні трьох неприбуткових установ, два з яких зосереджені на питаннях національної безпеки та державної політики, були перенаправлені на сервер експлуатації, в якому експлуатується нульовий день. Ми називаємо цю атаку «Операцією GreedyWonk».

Ми вважаємо, що GreedyWonk може бути пов'язаний з у травні 2012 року кампанія ShadowServer ґрунтується на узгодженості у сфері торгівлі (особливо з веб-сайтами, обраними для цього стратегічного веб-компромісу), інфраструктурою атаки та властивостями конфігурації шкідливих програм.

Група, що стоїть за цією кампанією, має достатньо ресурсів (наприклад, доступ до експлуатації нульового дня) і рішучості заражати відвідувачів веб-сайтам іноземної та державної політики. Суб'єкти загрози, ймовірно, прагнуть заразити користувачів на цих сайтах для подальшої крадіжки даних, включаючи інформацію, що стосується питань оборони та державної політики.

Відкриття

13 лютого FireEye визначив, що Adobe Flash експлуатує нульовий день, який впливає на останню версію Flash Player (12.0.0.4 та 11.7.700.261). Відвідувачі Інституту міжнародної економіки ім. Петра Петерсона (www.piie [.] Com) були перенаправлені на сервер експлуатування, який розміщував цей нульовий день Flash через прихований iframe.

Згодом ми виявили, що Американський дослідницький центр в Єгипті (www.arce [.] Org) і Фонд Сміта Річардсона (www.srf [.] Org) також перенаправили відвідувачів сервером exploit. Всі три організації є неприбутковими установами; Інститут Петерсона та Фонд Сміта Річардсона займаються питаннями національної безпеки та державної політики.

Зменшення впливу

Щоб уникнути захисту рандомізації адресного простору адресного простору (ASLR) у Windows, це використання керує комп'ютерами будь-якої з наступних конфігурацій:

  • Windows XP
  • Windows 7 і Java 1.6
  • Windows 7 і застаріла версія Microsoft Office 2007 або 2010

Користувачі можуть пом'якшити загрозу оновлення з Windows XP та оновлення Java та Office. Якщо у вас є Java 1.6, оновіть Java до останньої версії 1.7. Якщо ви використовуєте застарілу версію Microsoft Office 2007 або 2010, оновіть Microsoft Office до останньої версії.

Ці пом'якшення не виправляють базову уразливість. Але, розірвавши заходи ASLR-обходу експлуатата, вони запобігають функціонуванню нинішнього дикого експлуатата.

Аналіз вразливості

GreedyWonk націлює на раніше невідомі вразливості в Adobe Flash. Уразливість дозволяє зловмиснику переписати вказівник vftable об'єкта Flash, щоб перенаправити виконання коду.

Обхід ASLR

Атака використовує тільки відомі обходи ASLR. Деталі цих методів доступні з наш попередній пост в блозі на тему (у розділі «Модулі не ASLR»).

Для Windows XP зловмисники створюють ланцюжок програмування, що орієнтований на повернення (ROP), гаджетів MSVCRT (середовища виконання Visual C) з жорстко закодованими базовими адресами для англійської (“en”) та китайської (“zh-cn” і “zh-tw”). ”).

У Windows 7 зловмисники використовують жорстко закодовану ланцюжок ROP для MSVCR71.dll (час виконання Visual C ++), якщо користувач має Java 1.6, і жорстко закодовану ланцюжок ROP для HXDS.dll (модуль Help Data Services), якщо користувач має Microsoft Office 2007 або 2010.

Java 1.6 більше не підтримується і не отримує оновлень безпеки. На додаток до обходу ASLR MSVCR71.dll, в Java 1.6 існує безліч широко використовуваних уразливостей виконання коду. Тому FireEye настійно рекомендує оновити Java 1.7.

Обхідний пакет ASLR Microsoft Office HXDS.dll був виправлений в кінці 2013 року. Більш детальна інформація про цей обхід розглядається компанією Microsoft Бюлетень з безпеки MS13-106 і супровід запис у блозі . FireEye настійно рекомендує оновити Microsoft Office 2007 і 2010 за допомогою останніх патчів.

Аналіз коду

Шаблон шелл-коду завантажується в ActionScript як зображення GIF. Після того, як ROP позначить шелл-код як виконуваний за допомогою функції VirtualProtect у Windows, він завантажує виконуваний файл через функції InternetOpenURLA та InternetReadFile . Потім він записує файл на диск за допомогою функцій CreateFileA і WriteFile . Нарешті, він запускає файл за допомогою функції WinExec .

Аналіз корисного навантаження PlugX / Kaba

Після успішної експлуатації встановлюється корисне навантаження засобу віддаленого доступу PlugX / Kaba (RAT) з хешем MD5 507aed81e3106da8c50efb3a045c5e2b. Цей зразок PlugX був зібраний 12 лютого, за день до того, як ми його вперше спостерігали, вказуючи, що він був розгорнутий спеціально для цієї кампанії.

Це корисне навантаження PlugX було налаштовано з такими доменами команд і керування (CnC):

  • java.ns1 [.] name
  • adservice.no-ip [.] org
  • wmi.ns01 [.] us

Зразок трафіку зворотного виклику був таким:

POST / D28419029043311C6F8BF9F5 HTTP / 1.1
Прийняти: * / *
HHV1: 0
HHV2: 0
HHV3: 61456
HHV4: 1
User-Agent: Mozilla / 4.0 (сумісний; MSIE 6.0; Windows NT 5.1; InfoPath.2; .NET CLR 2.0.50727; SV1)
Хост: java.ns1.name
Довжина вмісту: 0
З'єднання: Зберегти-Живий
Кеш кеш: no-cache

Аналіз кампанії

Ім'я java.ns1 [.] І adservice.no-ip [.] Org вирішені до 74.126.177.68 18 лютого 2014 року. Пасивний аналіз DNS показує, що домен wmi.ns01.us раніше вирішено до 103.246.246.103 між липнем 4, 2013 та 15 липня 2013 року та 192.74.246.219 17 лютого 2014 року. Java.ns1 [.] Name також вирішено до 192.74.246.219 18 лютого.

Домен перший бачив Останнє бачення IP-адреса adservice.no-ip [.] Org adservice.no-ip [.] Org 2014-02-18 2014-02-18 2014-02-19 2014-02-19 74.126.177.68 74.126. 177.68 java.ns1 [.] Ім'я java.ns1 [.] Ім'я 2014-02-18 2014-02-18 2014-02-19 2014-02-19 74.126.177.68 74.126.177.68 java.ns1 [.] Name java. ns1 [.] ім'я 2014-02-18 2014-02-18 2014-02-18 2014-02-18 192.74.246.219 192.74.246.219 wmi.ns01 [.] us wmi.ns01 [.] us 2014-02-17 2014-02-17 2014-02-17 2014-02-17 192.74.246.219 192.74.246.219 proxy.ddns [.] Info proxy.ddns [.] Info 2013-05-02 2013-05-02 2014-02-18 2014-02-18 103.246.246.103 103.246.246.103 updatedns.ns02 [.] Us updatedns.ns02 [.] Us 2013-09-06 2013-09-06 2013-09-06 2013-09-06 103.246.246.103 103.246. 246.103 updatedns.ns01 [.] Us updatedns.ns01 [.] Us 2013-09-06 2013-09-06 2013-09-06 2013-09-06 103.246.246.103 103.246.246.103 wmi.ns01 [.] Us wmi. ns01 [.] us 2013-07-04 2013-07-04 2013-07-15 2013-07-15 103.246.246.103 103.246.246.103

MD5 Family Compile Time Альтернативні C2s 7995a9a6a889b914e208eb924e459ebc 7995a9a6a889b914e208eb924e459ebc PlugX PlugX 2012-06-09 2012-06-09 fuckchina.govnb [.] Ком fuckchina.govnb [.] Ком bf60b8d26bc0c94dda2e3471de6ec977 bf60b8d26bc0c94dda2e3471de6ec977 PlugX PlugX 2010-03-15 2010-03-15 microsafes. No-IP [.] орг microsafes.no-ф [.] орг fd69793bd63c44bbb22f9c4d46873252 fd69793bd63c44bbb22f9c4d46873252 Отруйний плющ Отруйний плющ 2013-03-07 2013-03-07 N / A N / A 88b375e3b5c50a3e6c881bc96c926928 88b375e3b5c50a3e6c881bc96c926928 Отруйний плющ Отруйний плющ 2012-06-11 2012- 06-11 Н / АН / А cd07a9e49b1f909e1bd9e39a7a6e56b4 cd07a9e49b1f909e1bd9e39a7a6e56b4 Poison Ivy Poison Ivy 2012-06-11 2012-06-11 N / AN / A

Варіанти Poison Ivy, які підключені до домену wmi.ns01 [.] Us, мали такі унікальні властивості конфігурації:

Домен Перший бачив Останній перегляд IP-адреса fuckchina.govnb [.] Com fuckchina.govnb [.] Com 2013-12-11 2013-12-11 2013-12-11 2013-12-11 204.200.222.136 204.200.222.136 microsafes.no -ip [.] org microsafes.no-ip [.] org 2014-02-12 2014-02-12 2014-02-12 2014-02-12 74.126.177.70 74.126.177.70 microsafes.no-ip [.] org microsafes.no-ip [.] org 2013-12-04 2013-12-04 2013-12-04 2013-12-04 74.126.177.241 74.126.177.241

Ми знайшли відповідний зразок Poison Ivy (MD5 8936c87a08ffa56d19fdb87588e35952) з тим самим паролем "java7", який був скинутий під керуванням Adobe Flash (CVE-2012-0779). У цьому попередньому випадку відвідувачі веб-сайту Центру оборонної інформації (www.cdi [.] Org - також організація, що займається питаннями оборони) були перенаправлені на сервер exploit на 159.54.62.92.

Цей сервер експлуатує хост Flash-файл з назвою BrightBalls.swf (MD5 1ec5141051776ec9092db92050192758). Цей експлуатат, у свою чергу, скинув Poison Ivy варіант . На додаток до того самого пароля "java7", цей варіант був налаштований з mutex з аналогічною схемою "YFds * & ^ ff" і підключений до сервера CnC у windows.ddns [.] Us.

Використовуючи пасивний аналіз DNS, ми бачимо домени windows.ddns [.] Us і wmi.ns01 [.] Нас обидва вирішені до 76.73.80.188 в середині 2012 року.

Домен Перший бачив Останній Дивитися IP-адресу wmi.ns01.us wmi.ns01.us 2012-07-07 2012-07-07 2012-09-19 2012-09-19 76.73.80.188 76.73.80.188 windows.ddns.us windows. ddns.us 2012-05-23 2012-05-23 2012-06-10 2012-06-10 76.73.80.188 76.73.80.188

Під час іншого попереднього компромісу того самого веб-сайту www.cdi.org, відвідувачі були перенаправлені на Java exploit test.jar (MD5 7d810e3564c4eb95bcb3d11ce191208e). Цей файл jar використовував CVE-2012-0507 і викинув корисну навантаження Poison Ivy з хешем (MD5 52aa791a524b61b129344f10b4712f52). Цей варіант Poison Ivy підключений до сервера CnC в ids.ns01 [.] Us. Домен ids.ns01 [.] Нас також перекривається з доменом wmi.ns01 [.] Us на IP 194.183.224.75.

Домен Перший побачила Останній Переглянув IP адресу wmi.ns01 [.] Us wmi.ns01 [.] Us 2012-07-03 2012-07-03 2012-07-04 2012-07-04 194.183.224.75 194.183.224.75 ids.ns01 [.] us ids.ns01 [.] us 2012-04-23 2012-04-23 2012-05-18 2012-05-18 194.183.224.75 194.183.224.75

Зразок Poison Ivy, згаданий вище (MD5 fd69793bd63c44bbb22f9c4d46873252), був переданий через експлойт-ланцюг, який почався з перенаправлення з Центру європейських досліджень політики (www.ceps [.] Be). У цьому випадку відвідувачі були перенаправлені з www.ceps [.] До експлуатації Java, розміщеної на shop.fujifilm [.] Be.

У тому, що, звичайно, не випадково, ми також спостерігали, що www.arce [.] Org (один з сайтів, що перенаправляють поточний Flash-експлойт), також перенаправляють відвідувачів на експлуатацію Java на shop.fujifilm [.] У 2013 році.

] У 2013 році

Висновок

Цей учасник загрози чітко шукає та компрометує веб-сайти організацій, пов'язаних з міжнародною політикою безпеки, темами оборони та іншими неприбутковими соціокультурними питаннями. Актор або зберігає наполегливість на цих сайтах протягом тривалого періоду часу або може періодично повторно компрометувати їх.

Цей актор також має ранній доступ до ряду експлуатацій нульового дня, включаючи Flash і Java, і розгортає різноманітні сімейства шкідливих програм на компрометованих системах. Виходячи з цих та інших зауважень, ми робимо висновок, що цей суб'єкт володіє можливостями та ресурсами, які вони мають у виробництві, щоб залишитися надійною загрозою принаймні у середньостроковій перспективі.

Новости