点击蓝字
关注我们
安恒威胁情报中心
警惕CVE-2021-40444 1Day攻击
- by 猎影实验室 -
1
事件背景
2021 年 9 月 8 日,微软发布紧急安全公告,披露了一个被在野利用的 Windows 平台零日漏洞,漏洞编号为 CVE-2021-40444。几天后网上便出现了相关攻击样本和漏洞利用代码。安恒威胁情报中心猎影实验室对之进行了分析。
2
攻击分析
以捕获到的一个在野样本为例。
CVE-2021-40444是微软IE组件的一个漏洞,漏洞成因为不正确地处理相对路径导致的逻辑错误(路径穿越)。虽然这是一个IE漏洞,但在野攻击以Word文档作为诱饵来诱导受害者触发漏洞,下面我们以其中一个在野样本为例描述整个漏洞攻击过程。
首先,攻击者通过前置手段给受害者发送一个文件类型为docx的Word文档,文档界面如下:
攻击者在docx文件内部数据的word_relsdocument.xml.rels文件中增加了一处指向外部的url链接,如下:
当受害者打开该文档后,上述url中指定的远程html文件会被下载到IE缓存目录,该html文件会进一步加载一个远程的cab文件,如下:
该远程cab文件会被下载另一个到IE缓存目录,随后被拷贝到当前用户临时文件夹(%tmp%)下的Cab{xxxx}(xxxx为4个随机数字)目录,随后被解压。在解压过程中,由于urlmon模块的相关函数未正确处理“../”这一路径,导致解压过程中存在一处路径穿越,cab包内本应被解压到%tmp%Cab{xxxx}文件夹内的文件被解压到了%tmp%文件夹。
借助漏洞,攻击者精心伪造了cab文件,在其内部内嵌了一个包含载荷的dll文件,并将其后缀名改为.inf。借助漏洞,该dll文件最终被以championship.inf的名称解压到了临时文件夹,如下:
随后,html文件中剩下的JavaScript代码会尝试用不同的路径去加载临时文件夹下的championship.inf:
攻击者为了适配各种不同的情况,在原html文件中尝试加载了多个路径,word进程因而会启动多个子进程,如下:
在这些子进程中,其中一个rundll32进程由于指定了正确的dll加载路径,会成功加载championship.inf,从而执行攻击者编写的载荷,如下:
3
利用趋势
由于网上已经公开了漏洞利用代码,攻击者的攻击成本大大降低,往后该漏洞的真实攻击利用估计会有一定幅度的上升。
目前就已经有借助疫情主题结合该漏洞的样本被捕获。
攻击者在诱饵文档的内部数据文中包含了一个指向外部的URL链接:
当受害者打开该文档后,上述 url 中指定的远程 html 文件会被下载到 IE 缓 存目录,该 html 文件会进一步加载一个远程的 cab 文件:
借助该漏洞攻击者精心伪造了cab文件,并在其内部内嵌了一个包含shell载荷的 dll文件,并将其后缀名改为.inf。该dll文件被加载执行后,会遍历寻找explorer.exe进程:
然后在该进程中注入shellcode执行:
Shellcode回连域名如下所示:
该地址仿冒了友商的官方域名:
其解析IP地址为中国香港的一个服务器:
通过安恒威胁情报中心Ti平台查询发现该地址近期存在多个活跃的恶意样本:
4
思考总结
1
虽然IE浏览器即将退出历史舞台,但由于Office软件的复杂性,IE组件的很多接口可以被Office所调用,尤其是一些涉及到网页操作的Office原生特性。再结合Office软件的流行性和安全弱点(大部分组件都运行在没有沙箱的环境中),攻击者自然将漏洞利用的视角转向了用Office加载IE漏洞的方向,此前的CVE-2018-8174,CVE-2018-8373和CVE-2020-0674等漏洞已经预示着这类趋势的出现。我们预计接下来还会接着出现这类借助Office触发IE漏洞的攻击手法,请广大用户注意防范。
2
2017年,Office曾经连续出现若干逻辑漏洞,例如CVE-2017-0199,CVE-2017-8570,CVE-2017-8759等,此类逻辑漏洞不受Office版本限制,触发简单,影响范围广,比传统内存破坏漏洞更具危害。本次CVE-2021-40444虽然是一个IE的逻辑漏洞,但由于其可以通过Office进行触发,且触发过程隐蔽简洁,此类漏洞后续可能被恶意组织大范围应用,建议广大用户提前做好防范。
5
防御建议
微软已经发布补丁,请及时更新补丁。补丁地址:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
安恒APT攻击预警平台能够发现已知或未知威胁,平台能实时监控、捕获和分析恶意文件或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。
同时,平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量的威胁情报等,对网络流量进行深度分析。检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件。
安恒主机卫士EDR通过“平台+端”分布式部署,“进程阻断+诱饵引擎”双引擎防御已知及未知类型威胁。
4
IOC
Hash
bcf91ff725419f6ae73350e5bba449f7
C4CE18E7C417B7FEE70DF13994D25322
1D95441FE377DF53F486A3FC587ED583
44F4E9FA537DB1B3751271490A176BE2
1d2094ce85d66878ee079185e2761beb
4c80dc9fb7483214b1613957aae57e2a
e770385f9a743ad4098f510166699305
0b7da6388091ff9d696a18c95d41b587
domain
xm.knonwsec[.]com
hidusi[.]com
macuwuf[.]com
dodefoh[.]com
IP
43.129.187[.]193
招聘 信息
岗位:二进制安全研究员
岗位职责:
* 针对海量威胁数据的挖掘,寻找APT攻击事件;
* 负责热门的安全事件、最新漏洞的分析,编写响应的分析报告;
* 研究新的检测方法,完善产品的检测能力;
* 协助内部威胁分析平台建设等。
任职要求:
* 熟悉windows、Linux等平台调试手段,熟练使用逆向分析工具(如:IDA、WinDbg、OllyDbg等);
* 熟悉C/C++、汇编语言,至少熟悉一门脚本编程语言,能快速完成POC代码编写;
* 熟悉病毒、木马通信原理和常用技术以及常见加密算法等;
* 了解二进制安全漏洞原理,具备独立漏洞分析能力;
* 了解yara、snort等类似策略编写;
* 具备大数据挖掘能力,能够快速对数据进行关联分析;
* 思路清晰,善于主动思考,有创新、能独立分析和解决问题,具有良好的沟通能力和团队合作精神。
加分项:
* 具有信息安全公司实习、从业经验;
* 熟悉APT攻击攻防、威胁狩猎,具备Sandbox开发、杀软类绕过研究、加壳工具开发经验;
* 具备多平台恶意代码分析经验(Linux、Android、macOS等);
* 有二进制相关漏洞CVE编号;
* 熟悉Web攻防,了解红蓝对抗相关工具使用以及内部原理,有渗透相关经验;
* 具备机器学习的相关实战经验。
投递邮箱:
本文始发于微信公众号(安恒威胁情报中心):警惕CVE-2021-40444 1Day攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论