Windows GDI缺陷導(dǎo)致PowerShell攻擊.遠(yuǎn)程控制軟件，灰鴿子下載.

admin

Windows GDI缺陷導(dǎo)致PowerShell攻擊.遠(yuǎn)程控制軟件，灰鴿子下載.

APT組FruityArmor利用Windows GDI內(nèi)存處理打破瀏覽器沙箱并在目標(biāo)攻擊中啟動(dòng)PowerShell
根據(jù)卡巴斯基實(shí)驗(yàn)室的說(shuō)法，微軟在最新一輪安全更新中修補(bǔ)的Windows GDI（圖形設(shè)備界面）中的一個(gè)關(guān)鍵漏洞被一個(gè)復(fù)雜的攻擊組利用來(lái)逃避基于瀏覽器的沙箱并遠(yuǎn)程執(zhí)行惡意代碼。
Windows GDI是一種API，可幫助應(yīng)用程序在視頻顯示器和打印機(jī)上使用圖形和格式化文本。遠(yuǎn)程代碼執(zhí)行缺陷源于GDI如何處理內(nèi)存中的對(duì)象（CVE-2016-3393），并且該問(wèn)題已在關(guān)鍵公告（MS16-120）中解決，Microsoft說(shuō)。此漏洞影響Windows操作系統(tǒng)，Microsoft Office 2007和Office 2010，Skype for Business 2016，Silverlight，.Net Framework，Microsoft Lync 2013和Microsoft Lync 2010的所有受支持版本。
微軟說(shuō)，攻擊者可以通過(guò)欺騙用戶訪問(wèn)惡意網(wǎng)站并點(diǎn)擊誘騙鏈接，打開(kāi)作為電子郵件附件發(fā)送的惡意制作的文檔或執(zhí)行特別裝載的文件來(lái)利用此漏洞。


卡巴斯基實(shí)驗(yàn)室研究員Anton Ivanov發(fā)現(xiàn)，已知的高級(jí)持續(xù)性威脅（APT）組FruityArmor正在將此漏洞作為基于瀏覽器的漏洞鏈的一部分，以獲得提升的權(quán)限并逃脫瀏覽器沙箱。 FruityArmor依靠Windows Management Instrumentation存儲(chǔ)來(lái)維護(hù)受感染機(jī)器上的持久性，并依靠PowerShell執(zhí)行其攻擊。

“由于許多現(xiàn)代瀏覽器是圍繞沙箱構(gòu)建的，一個(gè)單獨(dú)的漏洞通常不足以允許完全訪問(wèn)目標(biāo)機(jī)器，”伊萬(wàn)諾夫在卡巴斯基實(shí)驗(yàn)室的安全列表摘要寫道。

FruityArmor欺騙受害者訪問(wèn)包含基于瀏覽器的漏洞的惡意頁(yè)面。這個(gè)模塊的主要目標(biāo)是加載一個(gè)特制的TTF字體文件包含漏洞來(lái)觸發(fā)Windows GDI缺陷。通過(guò)成功的妥協(xié)，第二階段有效負(fù)載使用提升的特權(quán)來(lái)使用計(jì)費(fèi)表式腳本執(zhí)行PowerShell，以便連接到命令和控制服務(wù)器并接收其他指令和可執(zhí)行文件。

Ivanov說(shuō)，由C＆C運(yùn)營(yíng)商發(fā)送的主要惡意軟件植入和命令都是在PowerShell中編寫的。植入物和惡意的TTF字體駐留并在內(nèi)存中執(zhí)行，使其難以檢測(cè)。許多攻擊者正在轉(zhuǎn)向無(wú)文件惡意軟件，其中惡意代碼完全在內(nèi)存中執(zhí)行，以逃避檢測(cè)。

攻擊者可以從存在漏洞的Win32k.sys系統(tǒng)模塊的cjComputeGLYPHSET_MSFT_GENERAL函數(shù)中導(dǎo)致整數(shù)溢出。通過(guò)在字體文件中制作特定的段范圍，攻擊者可以訪問(wèn)“有趣的內(nèi)存”，Ivanov說(shuō)。雖然在Windows 10中的字體處理需要一個(gè)特殊的用戶模式進(jìn)程有限的權(quán)限，TTF處理的缺陷導(dǎo)致fontdrvhost.exe崩潰。

雖然每個(gè)組織都有不同的修補(bǔ)要求，但I(xiàn)T部門應(yīng)優(yōu)先考慮修補(bǔ)關(guān)鍵更新。當(dāng)這些漏洞被野蠻地利用時(shí)，由于Windows GDI中的這個(gè)遠(yuǎn)程代碼執(zhí)行缺陷，它肯定是一個(gè)優(yōu)先級(jí)。攻擊者繼續(xù)看到很多成功針對(duì)已經(jīng)有補(bǔ)丁的漏洞，因?yàn)椴⒉皇撬�有的系統(tǒng)及時(shí)更新。這就是為什么伊萬(wàn)諾夫深入討論這個(gè)漏洞的原因。

“請(qǐng)記住，我們不會(huì)公布這個(gè)漏洞的所有細(xì)節(jié)，因?yàn)槠渌�威脅行為者可能在攻擊中使用它們的風(fēng)險(xiǎn)，”Ivanov寫道。