据英国国家犯罪调查局(NCA)消息,在英美等国联合发起的“克罗诺斯行动(Operation Cronos)”中,执法人员成功渗透并控制了LockBit勒索家族服务器及网站,获得超1000个解密密钥,并冻结了200多个与该勒索家族相关的加密货币账户,同时还分别在波兰、乌克兰逮捕两名LockBit勒索家族成员。
![LockBit勒索团伙被端,这个PHP漏洞立大功(利用原理速览)]( "LockBit勒索团伙被端,这个PHP漏洞立大功(利用原理速览)")
图 | NCA官网中LockBit网站被控制的消息截图
LockBit是全球最臭名昭著的勒索家族。据公开数据统计,LockBit自2019年首次亮相至今,对全球1700多个组织、机构或企业发起过勒索攻击。LockBit勒索家族近期攻击成功的目标包括美国波音公司、芯片巨头台积电、半导体巨头鸿海集团旗下京鼎精密科技股份有限公司等。
然而比较有意思的是,频频使用漏洞对全球组织机构发起攻击的LockBit自己也栽在漏洞上。据国外媒体消息,NCA执法人员通过利用一个编号为CVE-2023-3824的PHP漏洞,成功渗透并控制了LockBit家族支撑RaaS运行的服务器,由此获得包括解密秘钥、加密货币账户等情报。
促成LockBit网站被踹的“功臣”——CVE-2023-3824是一个PHP溢出漏洞,成功利用该漏洞可实现RCE效果。目前国外论坛有披露此漏洞利用的部分细节,但并不完整,无法得知利用过程全貌。为防止其他网络攻击者利用此漏洞,微步情报局漏洞分析专家通过集合这些信息,推测出此漏洞的利用原理:
CVE-2023-3824的漏洞原理是,PHP对Phar文件进行处理时,由于对相关数据结构的长度判断不当,从而造成缓冲区溢出。结合国外论坛透露的信息来看,NCA至少使用了两个漏洞形成漏洞利用链,除了CVE-2023-3824外,应该还利用了一个文件上传漏洞,以便将Phar文件上传到服务器中。
如果是文件上传+PHP溢出漏洞组合的话,那其攻击过程大致如下:
-
NCA等执法人员利用未知的文件上传漏洞上传精心构造的Phar文件到LockBit服务器;
-
由于LockBit服务中存在遍历目录的逻辑(如下图所示),会使用RecursiveDirectoryIterator函数。该函数对过程1中的Phar文件进行解析时,就会触发缓冲区溢出漏洞,进而造成RCE,最终帮助执法人员拿到了LockBit服务器权限。
不过,鉴于目前关于该事件以及该漏洞细节的信息披露仍然很少,上述利用过程是微步漏洞分析专家的合理推测,相关结论仅供参考。如果有更多细节披露,我们会进一步研判并分享研究成果。
尽管在这则新闻中,漏洞一改往日形象,成为执法人员手中阻止网络犯罪的“利器”,但此漏洞细节如果被攻击者掌握,也将给企业带来不可估量的潜在危害。同时,透过“LockBit网站被踹”事件可获得的启示,网络攻防对抗是人与人之间的对抗,攻守之间并无定势。
善于使用漏洞的LockBit也会栽在漏洞上,而处于防守方的企业或组织在防范漏洞攻击方面将更具挑战:据微步情报局数据,微步在2023年捕获到41亿+次漏洞利用攻击,涉及约1300多个漏洞,255个为新爆发漏洞,其中约四分之一在漏洞发布当天就被攻击者利用。企业或组织防范漏洞攻击的难点在于,每年新增漏洞数万个,如何快速、准确找到并修复真正可能被攻击者利用的高风险漏洞?
原文始发于微信公众号(微步在线):LockBit勒索团伙被端,这个PHP漏洞立大功(利用原理速览)
评论