ADLab 2023年安全研究回顾

ChatGPT热潮席卷全球。2023年2月，启明星辰ADLab发现利用ChatGPT的黑客攻击活动，在随后的时间里逐渐发现了多起攻击事件，本文将其中最典型的一件利用ChatGPT应用开发项目进行传播的窃密木马攻击事件进行深入分析。本次事件牵扯到一个极为热门的ChatGPT桌面应用开源项目，该开源项目目前有17000多的star和1600多的fork。黑客团伙通过fork该项目并将窃密木马(文件名为“Install ChatGPT.exe”)植入项目中，并试图利用ChatGPT超高的热度向网络中传播。

自ChatGPT对外开放以来，启明星辰ADLab一直在跟踪基于ChatGPT的网络攻击活动，在此期间发现了大量与此相关的攻击活动。前期，我们通过文章《首个攻击ChatGPT应用项目窃密活动分析》披露了首个针对ChatGPT应用开源项目的窃密攻击活动，也引起该项目作者关注，并就该次黑客攻击在Github项目首页发布了安全公告进行预警。本篇文章将就我们所发现的基于ChatGPT的攻击活动做进一步披露和分析，并对其中一些典型攻击案例进行深入技术解析和探讨。

2023年，启明星辰ADLab追踪到多起针对我国企业财务部门的定向攻击活动，攻击活动从多方面高度伪装成攻防演练红队(攻击方)的攻击。从攻击活动的手法来看，攻击者采用C++自行开发了定制版的加载器及远控木马，攻击代码通过多种手段以期达到免杀效果。本文根据掌握的数据和信息进行分析，尽可能完整的披露此次活动涉及的攻击思路、基础设施、恶意代码技术、对抗手法等。

2023年6月，启明星辰ADLab监测到一款集窃密、监控、欺诈、勒索为一体的复杂Android恶意软件。通过对该恶意软件进行研判后确认，这是一款名为Daam移动端恶意代码，曾经反复活跃于伊朗等国家或地区。本文以我们发现的新Daam程序为线索，从多方面对该恶意软件进行分析和溯源，并对关联到的Daam历史活动迹象、背后黑客的行为模式以及黑客基础设施使用情况等进行分析，最后我们将对本次发现的Daam进行详细技术分析。

本文详细阐述和分析启明星辰ADLab观察到的一些针对乌克兰的网络攻击事件，通过这些攻击事件，我们关联出了一些黑客组织使用的基础设施、诱饵文件以及窃密木马等信息并做进一步的分析。从攻击的时间上来看，这批攻击主要集中在2023年5月和6月前后，这两个时间段都是俄乌战争的关键节点；从攻击载荷来看，黑客主要以投递SmokeLoader木马为主，用于下发窃密组件获取情报。

2023年，启明星辰ADLab捕获到一起以某摄像头公司为目标的攻击活动，该攻击活动所使用的攻击载荷异常复杂，远超寻常攻击。通过分析，我们发现该攻击在多个维度上都采用了高强度的对抗手段以防止被逆向工程，同时采用了多模块多阶段的内嵌式套娃模式。核心木马确定其家族归属PureLogs窃密木马，此次攻击也是该窃密木马首次被用于针对中国企业的网络攻击活动。此外，我们对其传播链进行溯源追踪过程中还发现了“黑雀”攻击的现象。

OPC UA .NET Standard Stack是OPC Foundation（OPC基金会）官方维护的OPC UA协议栈的参考实现。OPC UA协议是工业控制领域中的一种十分流行的通讯协议。启明星辰ADLab研究员在工控漏洞情报跟踪中发现了OPC UA .NET Standard Reference Server中存在内存资源耗尽漏洞（编号为CVE-2023-27321），并对该漏洞进行了深入分析和验证。

2023年3月和6月，Fortinet官方分别发布了影响FortiOS和FortiProxy管理界面的缓冲区下溢漏洞（CVE-2023-25610），以及FortiOS sslvpnd中的另一个堆溢出漏洞（CVE-2023-27997）。Fortinet虽然及时发布了更新，修补了漏洞，但仍有数十万设备容易受到该类漏洞影响。由于该类漏洞都是对输入长度处理不当导致堆的缓冲区溢出，利用方式也极其相似，本文将重点对这两个漏洞进行分析。

2023年7月，VulCheck研究人员披露MikroTik RouterOS存在高危漏洞CVE-2023-30799，可针对50万余个RouterOS系统发起大规模攻击。该漏洞最开始发现于2022年6月，被命名为FOISted。当时并没有分配CVE编号，猜测是因为只对x86虚拟机有影响，没有关于MikroTik 硬件设备的利用，并且需要admin管理员权限。本文首先对RouterOS的IPC消息机制和身份验证过程进行简单介绍，然后对CVE-2023-30799的漏洞原理及利用方式进行分析。

在Android应用层安全研究领域，研究人员大多采用人工审计加脚本的方式进行漏洞挖掘，漏洞挖掘效率低。2021年7月上旬，启明星辰ADLab基于开源工具二次开发，编写了一套半自动化静态漏洞扫描工具以辅助漏洞挖掘。在2021年8月底，仅3天时间，用这套工具在小米手机上挖掘到10余处高危漏洞及若干中危漏洞，位列小米SRC 2021 TOP1。本文主要介绍半自动化漏洞挖掘关键技术以及一些研究经验总结。

2023年10月23日，启明星辰ADLab高级安全研究员、移动安全专家在第七届看雪安全峰会上完成了关于深入Android 可信应用漏洞挖掘的议题演讲。2022年下半年演讲者已对部分主流厂商的TA实现做了安全研究，已有60处漏洞被确认。在本次议题中，重点介绍了主流厂商的TEE环境中的TA实现以及常见的攻击面并分享了一些针对TA做安全研究的技巧与方法，比如如何尽可能快速的拥有一台具备Root权限的手机用于研究与测试。同时还介绍了如何实现对TA进行模拟以及使用到的Fuzzing技术和部分调优策略。

2023年1月，外网公布了一个Linux内核io_uring子系统的本地提权漏洞利用，漏洞编号为CVE-2022-2602，可低权限触发。漏洞利用已公布，漏洞范围影响大。io_uring是Linux 5.1加入的一个重大特性——Linux下的全新的异步I/O支持，io_uring实现异步I/O的方式其实是一个生产者-消费者模型。本文重点对该漏洞原理进行研究分析。

2023年4月7日，seongil-wi在github上披露了Node.js模块vm2 的沙箱逃逸漏洞（CVE-2023-29017），CVSSv3评分为10.0，漏洞定级为严重，影响版本为3.9.14之前。随后Xion又在修复的vm2 3.9.15版本中披露了同级别的另一沙箱逃逸漏洞（CVE-2023-29199）。启明星辰ADLab在第一时间对漏洞进行了分析并给出修复建议。沙箱对Node.js 宿主对象的操作进行代理，以达到在Node.js 中执行受信任的代码。如果Node.js的宿主对象未经沙箱处理直接使用，可执行任意代码，从而绕过沙箱保护。

2023年4月19日，Oracle官方发布了最新的安全补丁, 修复了多个WebLogic组件漏洞，包括CVE-2023-21931、CVE-2023-21979、CVE-2023-21964、CVE-2023-21960等。其中，CVE-2023-21931和CVE-2023-21979为启明星辰ADLab发现并提交给官方的漏洞。CVE-2023-21931和CVE-2023-21979漏洞可在未经身份验证的情况下通过T3、IIOP协议远程访问并破坏易受攻击的WebLogic Server，成功利用该漏洞可能导致远程服务器被控制。

2023年5月，Github网站上公布了一个Ubuntu 22.04桌面系统的本地提权利用，该利用使用的漏洞存在于Linux内核Overlay文件系统中，漏洞编号为CVE-2023-0386。当用户从nosuid挂载点复制一个具有特权的文件到另一个挂载点时，可以未经授权地访问具有特权的setuid文件，并执行该文件进行权限提升。本文重点对该漏洞原理及利用进行分析。

2023年9月6日，Apple安全团队向Google报告了WebP安全漏洞（CVE-2023-4863）。9月11日，Google紧急发布一则关于WebP的安全修复，并指出Google已经意识到该漏洞存在在野利用。该漏洞极有可能就是BLASTPASS攻击中使用的漏洞。据不完全统计，WebP组件的下游软件可能超过百万款，或将使其成为下一个Log4Shell漏洞，建议使用WebP组件的厂商及时更新到最新版。本文主要对漏洞CVE-2023-4863进行分析复现。

SQLite3具有简单、轻量、高效的特点，广泛应用于小型应用和嵌入式系统的数据存储。在2023年BlackHat-Asian会议上，有三个SQLite3的漏洞被披露，这三个SQLite3的漏洞编号分别是CVE-2022-3039、CVE-2022-3041、CVE-2022-3195。WebSQL提供了一种简单方式来存储和检索数据，特别适用于离线应用程序和需要在客户端进行数据处理的场景。Chrome和Safari等都支持通过SQLite来实现WebSQL。本文选取CVE-2022-3039作为本次漏洞分析的重点。

1

1

启明星辰积极防御实验室（ADLab）