声明
本文是学习全球高级持续性威胁(APT)2022年中报告. 下载地址 http://github5.com/view/55062而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
APT攻击中的漏洞利用
相较于2021年0day漏洞井喷似的爆发,2022年上半年0day漏洞的攻击使用整体趋于缓和,比之2021年有大幅下降,但同比2020年却有所上升。当将2021年这个特殊年份去掉,可以发现0day在野漏洞的攻击依然维持一个逐年递增的趋势。以浏览器为核心的漏洞攻击向量依然是主流趋势,Chrome,Firefox,Safari及对应平台下Windows,MacOS,IOS的沙箱逃逸漏洞占所有漏洞近7成,其中近5成漏洞源自之前漏洞补丁绕过的变种。
| 漏洞编号 | 影响目标 | 利用代码是否公开 | 利用的APT组织 | 披露厂商 |
|---|---|---|---|---|
| CVE-2022-21882 | Microsoft | 是 | 未知 | 未知 |
| CVE-2022-22587 | Apple | 否 | 未知 | 未知 |
| CVE-2022-22620 | Apple | 是 | 未知 | 未知 |
| CVE-2022-0609 | 否 | Lazarus | Google's Threat Analysis Group | |
| CVE-2022-26485 | Mozilla | 否 | 未知 | 360 |
| CVE-2022-26486 | Mozilla | 否 | 未知 | 360 |
| NA | 向日葵 | 是 | 海莲花 | 未知 |
| CVE-2021-22600 | 否 | 未知 | 未知 | |
| CVE-2021-39793 | 否 | 未知 | 未知 | |
| CVE-2022-1040 | Sophos | 是 | Driftingcloud | 未知 |
| CVE-2022-1096 | 否 | 未知 | 未知 | |
| CVE-2022-22674 | Apple | 否 | 未知 | 未知 |
| CVE-2022-22675 | Apple | 否 | 未知 | 未知 |
| CVE-2022-26871 | Trend Micro | 否 | 未知 | Trend Micro Research |
| CVE-2022-24521 | Microsoft | 否 | 未知 | National Security Agency and Crowdstrike |
| CVE-2022-1364 | 否 | 未知 | Google's Threat Analysis Group | |
| CVE-2022-26925 | Microsoft | 否 | 未知 | Bertelsmann Printing Group |
| CVE-2022-30190 | Microsoft | 是 | 未知 | Shadow Chaser Group |
| CVE-2022-26134 | Atlassian | 是 | Driftingcloud | Volexity |
表4.1 2022上半年披露的高危漏洞
新兴的浏览器巨头:Lazarus
2021年初,朝鲜APT团伙Lazarus发起了针对安全人员的攻击事件,攻击中使用了多个浏览器及本地提权漏洞,2022年初该团伙又针对美国的新闻、IT、加密币及金融行业发起了多起攻击。攻击中使用了Chrome浏览器的0day漏洞CVE-2022-0609,结合Chrome浏览器的利用特性,这一波攻击中至少还有一个用于提权的未知0day漏洞。据Google研究人员的分析,Exp落地前还进行了Macos/Firefox相关的环境检测,有理由相信,该组织手中应该还有针对Safari/Firefox的0day漏洞。同时,该团伙似乎吸取了2021攻击时的经验教训,对投递的0day利用进行多重保护,包括但不限于:
1. 漏洞跳转的iframe只在特定的时间提供
2. 鱼叉邮件中的链接包含唯一ID,以确保一个漏洞利用的链接只有一次触发机会
3. 漏洞利用的每一个阶段都通过AES加密
4. 一个阶段失败,直接放弃攻击
可以看到整个攻击中攻防双方的对抗升级,浏览器尤其是Chrome的0day检测已经成为除Google以外其他安全厂商很难介入的领域。
进击的向日葵
向日葵是一款国内流行的远程控制管理工具,其支持远程控制电脑手机,远程管理,内网穿透等功能。2022年2月,该软件Windows版本被曝光存在远程命令执行漏洞,并出现在野利用。其本质上利用了向日葵对外开启的一个危险接口,获取到默认的CID,从而配合后续的一处命令注入触发代码执行。由于很多企业的安全意识不足,将向日葵的接口主动曝露在公网,在漏洞公开后,大量企业受到了攻击,包括挖矿、勒索、僵尸网络等,其中海莲花曾多次利用该漏洞进行攻击。
IoT路由沦为APT团伙攻击的前哨站
APT团伙攻击时往往需要隐藏自身回连C2服务器,以防止后续安全人员的溯源,2022年上半年,奇安信红雨滴团队捕获到多起海莲花攻击IoT路由设备的事件,该团伙通过近两年披露的一些路由器nday漏洞,对外网上没有修复的路由设备进行攻击,将这些路由设备作为攻击木马回连C2服务器的中转跳板,从而隐藏自己真实的C2服务器地址,此类手法已经成为当下海莲花团伙的标配攻击手段。
Driftingcloud:新兴的0day团伙
Volexity于2022年6月分别披露了两起定向攻击事件,这两起攻击中都使用了0day漏洞,其中一个漏洞CVE-2022-26134为Atlassian Confluence Sever中未经身份验证的远程代码执行漏洞,另一个则是针对Sophos防火墙的远程代码执行漏洞CVE-2022-1040,当通过漏洞攻陷Sophos防火墙后,攻击者利用对防火墙的访问权限修改了针对特定目标网站的DNS响应,以实现MITM攻击,这使攻击者能从对网站内容管理系统(CMS)的管理访问中拦截用户凭据和会话cookie,并以此进行后续的攻击。
图4.2 Driftingcloud 0day漏洞攻击流程
传承:CVE-2022-30190
该漏洞最早由安全人员通过VT发现,并命名为Follina。漏洞利用和去年的CVE-2021-40444有很多相似之处,通过OLE远程拉取一个恶意html,该html中使用msdt协议绕过了office自带的保护视图。后续发现微软实际上在攻击不久前就已经尝试修复该问题,但是依旧存在rtf文件格式绕过的问题,最后通过msdt协议中的一处powershell注入导致最终的代码执行。
图4.3 CVE-2022-30190漏洞利用
该攻击样本被披露两天之后,便被TA413用于实际的鱼叉邮件攻击,之后APT28组织也在针对乌克兰的攻击中使用了该漏洞,但是由于该漏洞最终通过msdt的方式利用,导致漏洞披露之后,样本非常容易查杀。
延伸阅读
更多内容 可以点击下载 全球高级持续性威胁(APT)2022年中报告. http://github5.com/view/55062进一步学习
