Morphisec 公司警告称,较近攻击一家香港电信公司网站所利用的正是曾被朝鲜黑客组织自2017年11月中旬就已利用 Flash 漏洞。
这个漏洞的编号是 CVE-2018-4878,韩国互联网安全局 (KISA) 发布警报称该漏洞遭一个朝鲜黑客组织利用后出现在公众面前。Adobe 公司已经在漏洞曝出后一周内完成修复。
攻击堪称教科书级别
2月底,网络犯罪分子已经在利用该漏洞。Morphisec 公司指出较近利用该漏洞发动的攻击是教科书级别的水坑式攻击案例。水坑式攻击主要关注网络间谍目标,攻击者将恶意软件植入受害者可能访问的网站上。
这次针对香港某电信公司的攻击显示出了高阶的躲避性质,因为它是无文件攻击,不具备持续性,也未在磁盘上留下任何痕迹。研究人员认为它是高度针对性攻击链的完美垫脚石。另外,它在未过滤端口上使用了一个自定义协议。
研究人员指出,一般而言,这种高阶水坑式攻击具有高针对性而且通常由非常高阶的组织实施。这次攻击中所使用的 Flash 利用代码和对 CVE-2018-4878 漏洞的详细分析非常相似,尽管前者利用后执行的是不同的 shellcode。
这个 shellcode 执行 rundll32.exe 并用恶意代码覆写其内存。这个恶意代码旨在直接将额外代码下载到 rundll32 进程的内存中。
研究人员还发现 C&C 服务器使用443端口上的自定义协议和受害者通信。
被自动下载到 rundll32 内存中的额外代码包括 Metasploit Meterpreter 和 Mimikatz 模块。多数模块是在2月15日编译的,也就是攻击发生的不到前一周的时间。
攻击者尚不明确
尽管这次攻击具有高阶躲避特征,但它使用了在攻击发动前编译的基础 Metasploiot 框架组件,并且缺乏复杂性、混淆性或躲避性,这导致很难将攻击归属于某个行动者。
Morphisec 公司表示,被升级以攻击 CVE-2018-4878 的利用包、攻击发生在一周前、漏洞遭国家黑客组织利用都让人有似曾相识的感觉。该公司指出,就像是两三年前,每周都会发现针对某个具体漏洞的新型利用代码那样。每种利用代码都各不相同且足以在较重要的初次接触时躲避检测,而安全解决方案总是忙不迭地紧紧追赶。
利用细节
包含恶意代码的网站图像:
所提供的Flash漏洞与先前发布的CVE-2018-4878分析具有高度相似性。主要区别在于在开发后执行的shellcode:
shellcode执行一个合法的Windows进程rundll32.exe,并用恶意代码覆盖其内存。恶意代码将其他代码直接下载到同一个rundll32进程的内存中。
C2服务器(106 .185.24.241)使用443端口上的自定义协议和受害者通信。
Metasploit Meterpreter:
下载到rundll32进程内存的附加代码包括相关的Metasploit Meterpreter和Mimikatz模块(许多模块未对齐)。我们可以清楚地看到,大部分模块都是在2月15日编译的(上一次朝鲜黑客的攻击)。
下面是Metasploit Github的原始Metasploit模块截图:
本文翻译自 www.securityweek.com;blog.morphisec.com, 原文链接 https://www.securityweek.com/watering-hole-attack-exploits-north-koreas-flash-flaw%EF%BC%9Bhttp://blog.morphisec.com/watering-hole-attack-hong-kong-telecom-site-flash-exploit-cve-2018-4878 
