Kaspersky Endpoint Security for Business有兩大鎮山之寶,behavioral threat detection和exploit prevention技術多年來讓無數惡意攻擊無所循形,近日他們再建一功,發現一波具高度針對性的攻擊,並把攻擊者命名為PuzzleMaker。
連串零時差安全漏洞組成
PuzzleMaker的攻擊使用了在Google Chrome瀏覽器的零時差漏洞,以及Microsoft Windows上的安全漏洞,現時兩者已推出補丁,建議用戶從速更新。透過Google Chrome的漏洞,攻擊者可以在目標裝置上執行惡意代碼,而且因為利用Windows 10的安全漏洞而逃避Sandbox以及取得系統權限,然後繼續上載首個惡意模組,稱它為Stager,隨之來的是專門的設定區塊 (command server address、session ID、下一個模組的解密金鑰和其他)。
Stager會通知攻擊者成功感染、下載和解密滴管模組,結果是安裝兩個執行檔,並把自己似裝成合法。第一個檔案是WmiPrvMon.exe,登記成為一個服務然後執行第二個檔案wmimon.dll,第二個執行程式是以攻擊為目標的惡意內容,偽裝成為remote shell。
攻擊者以該shell取得目標裝置的完全控制權,他們能上載和下載檔案、建立流程、指定時間休眠和以任何攻擊破壞裝置,這惡意元件透過加密連線與指令伺服器通訊。
相關安全漏洞
很可惜暫時專家未能分析PuzzleMaker用作攻擊Google Chrome的遙距執行代碼漏洞,但他們進行了徹底的調查,相信攻擊者利用CVE-2021-21224安全漏洞,如果想知道為何得出這個結論,不妨瀏覽Securelist的相關文章。而相關的漏洞Google已經在今年4月堵塞,在Kaspersky發現這波攻擊後少於一星期內。
提升權限的攻擊同時利用了兩個Windows 10的安全漏洞,第一個是CVE-2021-31955,在ntoskrnl.exe洩露資料的漏洞,透過它可以找出EPROCESS的位置。第二個安全漏洞是CVE-2021-31956,在ntfs.sys騙動程式中屬於heap overflow級別的安全漏洞,攻擊者以它配合Windows Notification Facility以讀寫資料到記憶體內。有關漏洞影響常見的Windows 10 builds: 17763 (Redstone 5)、18362 (19H1)、18363 (19H2)、19041 (20H1)和19042 (20H2)。Securelist有文章詳列有關的技術和一系列的IoC。
防範類似的攻擊
要讓公司能防禦PuzzleMaker攻擊首先是更新Chrome和安裝(從Microsoft官方網站)操作系統的補丁,堵塞CVE-2021-31955和CVE-2021-31956。而面對這類型的零時差漏洞攻擊,不論公司是哪個行業都需要有網絡安全產品能夠偵測這類型的漏洞攻擊,並且分析可疑行為。
資料來源:Kaspersky Blog
