背景
深信服深瞻情报实验室在针对高价值样本的挖掘中发现 2022年5月初 VirusTotal 出现了一例 Windows LPE 1day 漏洞利用样本,之后在关联的过程发现与 MedusaLocker 黑客组织存在强关联线索,而结合与2021年挖掘得到的 Windows LPE exploit利用样本进行代码相似度比对发现存在极高相似度,因此从时间线上可以推断出背后的漏洞利用开发人员长期从事该项工作。
由于本次与 MedusaLocker 黑客组织存在基础设施强关联特征,我们将本次发现的涉及 Windows exploit 线索背后的组织命名为 AzizjLpeWild ,方便后续进行追踪溯源。
团伙
MedusaLocker 于2019年10月开始活跃,国内外均有大量受害者。早期该团伙通过对入侵机器内的数据文件进行加密勒索1比特币(BTC),后续采用文件加密与数据窃取的勒索模式。
AzizjLpeWild 组织于2021年10月被曝光出现Windows 内核漏洞 CVE-2021-36955 利用样本,之后陆续追踪挖掘出多个Windows 内核漏洞利用样本,表明背后的组织具备一定门槛的系统漏洞利用能力。涉及的内核漏洞影响系统范围广,覆盖 Windows 7 与 Windows 11 ,而且能够稳定利用,所以极有可能在真实攻击中使用,需要关注与警惕。
调查
追踪在野漏洞利用的过程中发现疑似 CVE-2021-43207(2021年12月14日补丁发布被修复)、CVE-2021-43226(2021年12月14日补丁发布被修复)漏洞利用文件,编译时间为2022年4月27日,本地系统测试漏洞利用文件在未安装 2021年12月安全补丁情况下均可提权成功。
随后经过简单的调查如下,该漏洞利用样本存在PDB路径为:C:UsersazizjDesktopWindows LPE 7-11x64Releaseexploit.pdb,表明该漏洞的影响系统版本涉及Windows 7与Windows 11。漏洞利用恶意文件托管地址为:http://194.5.212.152/23.exe,托管地址属于德国IP资产。IP历史反查关联到域名:fin.innixtech.com,注册时间为2022年4月23日,到期时间为2023年4月23日。注册时间早于漏洞利用文件的编译时间,符合常规情况下先部署基础设施后托管恶意文件进行测试的策略。
IP 与域名均被标记为 CobaltStrike 资产用于攻击活动,这里提高了该资产用于恶意活动的置信度。
而经过调查发现托管漏洞利用文件的 IP 资产也托管关联到其余恶意文件,例如存在 MedusaLocker 勒索病毒的新变种,托管地址为http://194.5.212.152/download/file.ext.exe 。勒索病毒的编译时间为2022年4月21日,早于域名的注册时间。
勒索信名称为 RECOVER-MY-FILES.txt,内容如下,加密完成后桌面屏幕也被经过修改。
被加密文件的后缀为 encrypt3d,如下。
加密后缀 encrypt3d 也被其余勒索病毒家族使用,但经过比对并非是 WhiteBlackCrypt 勒索病毒家族,如下。
勒索信提供的Tor站点地址,直接访问后无法响应返回内容,猜测是目前处于基础设施前期部署阶段。
利用 PowerShell 加载 CobaltStrike 木马的恶意脚本 a,位于托管地址 http://194.5.212.152/a。
回连地址为 http://194.5.212.152/ch,加密的数据存放在cookie 字段进行传输,如下。
溯源
勒索家族溯源
利用上述勒索病毒的代码相似性找到3个关联样本,之后在3个关联样本中发现了黑客留下的勒索信内容,勒索信内容包含具体的联系邮箱,选取其中一个勒索样本本地测试后加密文件的后缀如下:
测试系统的桌面壁纸同样也被修改与上述发现的勒索样本一致,如下。
但是勒索信与上述发现的勒索样本不同,仔细观察后发现存在联系邮箱,如下。
通过勒索信中提及的联系邮箱([email protected]、[email protected])在国外www.pcrisk.com 资讯站点初步找到了历史关联家族为MedusaLocker ,对关于 MedusaLocker 文章里提及的样本经过人工分析发现与 MedusaLocker 历史家族存在较大相似度,达到 98.7%,可认定本次发现的勒索样本为 MedusaLocker 家族未公开的新变种,结合这一系列强关联链条,因此认定发现的勒索病毒样本属于 MedusaLocker 家族的一部分,该组织拥有了Windows 内核 1 day 漏洞利用能力。
在野漏洞溯源
漏洞利用样本 23.exe 经过本地分析后发现为 CVE-2021-43207、CVE-2021-43226 漏洞利用恶意文件,此次捕获的漏洞样本涉及 Windows 通用日志文件系统 (Common Log File System) 组件,对应的模块为clfs.sys 文件,后续已于2021年12月补丁中被修复,由于目前互联网并未公开相关漏洞利用源代码以及测试代码,所以背后的漏洞开发人员已具备内核漏洞利用能力,因此 23.exe 属于 Windows 内核 1 day漏洞利用文件。
继续溯源调查发现与我们在2021年11月初发现的另一个在野内核漏洞利用样本存在极高的相似度,该内核漏洞利用样本被友商分析后判定为 CVE-2021-36955,漏洞在2021年9月的补丁中被修复,仍旧属于Windows 内核 1 day 漏洞利用。
2022年6月与上述漏洞利用文件(23.exe)存在极高相似度的 Windows exploit 再次出现,之后对其进行分析发现为CVE-2022-24521,该漏洞是最近出现的Windows 内核提权漏洞,已于2022年4月12日安全补丁中被修复。
该内核漏洞 CVE-2022-24521 已由 googleprojectzero通过补丁比对分析出细节,但未提及 exploit 利用样本,该漏洞影响未安装2022年4月12日补丁的如Windows 7, 8.1, 10, 11 and Windows Server 2008, 2012, 2016, 2019, 2022 系统。
由于该 exploit 的编译时间为2022年2月13日,如果时间戳是未篡改的,则表明背后的开发者已提前拥有了该 0 day 漏洞。
同样的,继续溯源调查发现,历史存在多个具有一定代码相似性的在野内核漏洞利用样本。
2022年5月披露了同样涉及 Windows 通用日志文件系统 (Common Log File System)组件的 Windows 内核 1 day 漏洞样本(CVE-2022-24481),不过该漏洞利用样本经过分析,使用的漏洞开发源码与上述挖掘发现的漏洞利用样本漏洞开发源码不同。
通过近一年多对 Windows 在野漏洞利用的样本追踪与挖掘,可以发现以上挖掘出的漏洞利用样本均存在一定的代码相似性,考虑到 Windows 环境下内核漏洞挖掘与利用存在一定的门槛,于是我们可以依据获取的线索与推理得出以下三个结论:
1)基于漏洞利用样本上传地区的不同,开发源码在小范围私密环境中存在共享,基于同一套漏洞利用开发源码迭代开发。
2)MedusaLocker组织拥有 Windows 内核漏洞利用能力,可自行开发exploit。
3)MedusaLocker 组织向第三方购买了 Windows 内核 exploit,存在漏洞交易的可能。
通过对获取到的 Windows exploit 样本的分析与相似性比对,我们认为背后属于同一个组织的可能性非常大,因此为了后续追踪溯源,将其命名为AzizjLpeWild 组织,便于追踪溯源。
IOCS
194[.]5.212.152
fin[.]innixtech.com
参考链接
1. https://www.freebuf.com/vuls/332654.html
2. https://mp.weixin.qq.com/s/n5NOgkHkKeOde6YIxydq4A
3. https://googleprojectzero.github.io/0days-in-the-wild//0day-
RCAs/2022/CVE-2022-24521.html
原文始发于微信公众号(深信服千里目安全实验室):MedusaLocker黑客组织Windows LPE 1day新组件披露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论