【安全资讯】使用了两个0day针对韩国公司的APT攻击

 2020年5月，卡巴斯基阻止了Internet Explorer恶意脚本对一家韩国公司的攻击。进一步分析发现，该攻击使用了以前未知的攻击链，该链包括两个0day漏洞：Internet Explorer的远程代码执行漏洞和Windows的特权提升漏洞。与我们在Operation WizardOpium中使用的以前的攻击链不同，新的 攻击链 针对的是Windows 10的最新版本，而我们的测试表明可以稳定地利用的版本为Internet Explorer 11和Windows 10的18363 x64版本。  

我们称此为“ Operation PowerFall”攻击。目前，无法与任何已知的威胁参与者建立明确的联系，但是由于与以前发现的漏洞相似，我们认为DarkHotel可能是此次攻击的幕后黑手。

在野发现的Internet Explorer的最新零日攻击利用了旧版JavaScript引擎jscript.dll中的漏洞CVE-2020-0674，CVE-2019-1429，CVE-2019-0676和CVE-2018-8653。相比之下，CVE-2020-1380是jscript9.dll中的一个漏洞，默认情况下已从Internet Explorer 9开始使用该漏洞，因此，Microsoft建议的缓解措施（限制jscript.dll的使用）无法保护针对此特定漏洞。

漏洞利用创建了两个不同的JavascriptNativeIntArray对象，它们的缓冲区指向相同的位置。这样就可以检索对象的地址，甚至可以创建新的格式错误的对象。该漏洞利用这些原语来创建格式错误的DataView对象，并获得对该进程整个地址空间的读/写访问权限。经过一系列的操作之后，漏洞利用程序将搜索线程的堆栈以查找返回地址，将shellcode放置在准备好的缓冲区中，获取其地址，最后，通过覆盖函数的返回地址，构建面向返回的编程（ROP）链以执行Shellcode。

Shellcode是附加到Shellcode上的可移植可执行（PE）模块的反射DLL加载器。该模块非常小，位于单个功能内。它在一个名为ok.exe的临时文件夹中创建一个文件，并将远程代码执行漏洞中存在的另一个可执行文件的内容写入该文件。之后，执行ok.exe。

ok.exe可执行文件包含针对GDI打印/打印后台处理程序API中的任意指针取消引用漏洞CVE-2020-0986的特权提升漏洞。该漏洞使得可以使用进程间通信来读取和写入splwow64.exe进程的任意内存，并使用它来实现splwow64.exe进程中的代码执行，从而绕过CFG和EncodePointer保护。该漏洞利用程序的资源中嵌入了两个可执行文件。第一个可执行文件以CreateDC.exe的形式写入磁盘，并用于创建设备上下文（DC），这是开发所必需的。第二个可执行文件的名称为PoPc.dll，如果利用成功，则由具有中等完整性级别的splwow64.exe执行。

（从splwow64.exe执行恶意PowerShell命令）

PoPc.dll也位于单个功能内。它执行一个已编码的PowerShell命令，该命令会继续从www [.]static-cdn1[.]com/update.zip下载文件，将其保存为临时文件upgrader.exe并执行。我们无法分析upgrader.exe，因为卡巴斯基技术在下载可执行文件之前阻止了攻击。