目录 :
1.特权提升利用
2.后期利用和恶意软件
3.结论
4.妥协的标志
2023年2月,卡巴斯基技术公司在中东、北美和之前的亚洲地区的中小型企业的Microsoft Windows服务器上检测到多次试图执行类似的权限提升攻击。这些漏洞与我们之前分析的已知通用日志文件系统(CLFS)驱动程序漏洞非常相似,但我们决定再次检查,这是值得的。其中一个漏洞被证明是零日漏洞。
他支持不同版本的Windows,包括Windows 11。该漏洞被高度混淆,其80%以上的代码被优雅地“垃圾”编译成二进制文件,但我们很快完全逆转了它,并向微软报告了我们的发现。
微软将CVE-2023-28252分配给通用日志文件系统特权提升漏洞,并于2023年4月11日发布了补丁,作为四月星期二补丁的一部分。
虽然我们在过去发现的大多数零日都是由apt使用的,但这个特殊的零日是由一个复杂的网络犯罪集团使用的,该集团实施勒索软件攻击。该组织因使用大量相似但独特的通用日志文件系统(CLFS)驱动程序漏洞而闻名,这些漏洞可能由同一漏洞作者开发。至少从2022年6月开始,我们已经发现了针对零售和批发、能源、制造和医疗保健的攻击中使用的五种不同的漏洞。
软件开发等行业,利用CVE-2023-28252零日,试图部署Nokoyawa勒索软件作为最后的有效载荷。
1.特权提升利用
攻击者必须通过用户访问的身份验证,并且能够在目标系统上运行代码来发起特权提升攻击。
CLFS是在Microsoft Windows Server 2003 R2/Microsoft Vista中首次引入的日志文件子系统,在clfs.sys驱动程序中实现。这个文件系统可以被任何应用程序使用,微软为它提供了一个API。使用CreateLogFile函数创建日志–日志由一个基本日志文件(.blf文件扩展名),它是一个包含元数据的主文件,以及许多保存实际数据的容器。 使用AddLogContainer和AddLogContainerSet函数创建容器。您可能已经猜到,基本日志文件是最有趣的。虽然微软提供了一个API来使用它们,但是它们的文件格式是没有文档记录的,开发者只能通过CLFS API与它们进行交互。当在十六进制编辑器中简单查看时,基本日志文件的文件结构看起来并不复杂,并且微软为clfs.sys提供了调试符号,因此如果有足够的热情,这种格式可以被逆向工程(已经由Alex lonescu完成)。只要看一眼基本日志文件的结构,就会立刻发现一个危险信号——该文件由内核结构组成,甚至还有存储内存指针的字段!事实上,根据API文档,这项技术非常复杂,而且是很久以前开发的,因此我们有大量的漏洞。搜索“Windows通用日志文件系统驱动程序特权提升漏洞”显示,自2018年以来,已发现至少三十二个此类漏洞(不包括CVE-2023-28252),其中三个是 在野外被检测为零日(CVE-2022-24521,CVE- 2022-37969,CVE-2023-23376)。
CVE-2023-28252是一个越界写入(增量)漏洞,当系统试图扩展元数据块时,可以利用该漏洞。操纵基本日志文件会触发该漏洞。 就现在。我们不会分享关于漏洞以及如何触发漏洞的任何其他细节,因为这些信息可能被用作双刃剑。这是为了确保每个人都有足够的时间在其他参与者为CVE开发漏洞之前修补他们的系统-202328252。我们将在4月补丁星期二后的第九天更新这篇文章。
发现的利用漏洞利用此漏洞来破坏另一个特制的基本日志文件对象,使基本日志文件中的虚假元素被视为真实元素。_CLFS_CONTAINER_CONTEXT是存储在基本日志文件中的结构的一个例子,但是包含一个用于存储内核指针的字段。当然,当从磁盘上的基本日志文件中读取该结构时,该字段的值会被忽略,但是在内存中将指向valid _CLFS_CONTAINER_CONTEXT结构的偏移量更改为指向特制的恶意_CLFS_CONTAINER_CONTEXT结构的偏移量,可以在用户级别提供一个指向受控内存的指针,并获得内核读/写权限。
该漏洞通过泄漏内核对象的地址来实现稳定的利用。这是通过使用NtQuerySystemlnformation函数来完成的——这是我们之前在其他零日(例如PuzzleMaker)中看到的技术。 MysterySnail APT案例)。漏洞利用使用的信息类需要介质IL才能工作。
我们认为CVE-2023-28252在引信的帮助下很容易被发现。但是在这个组件中已经发现了这么多漏洞,所以如果它可以通过fuzzing发现,为什么以前没有发现呢?我们有一个可能的解释。检查反汇编程序中的clfs.sys驱动程序代码,会发现大量使用try/catch块来捕获异常。在代码的许多部分,当异常发生时,它被异常处理程序屏蔽,代码继续正常执行,就像什么也没发生一样。我们验证了CVE-2023-28252在触发漏洞后可能出现的访问违规被异常处理程序掩盖。这让我们认为以前的fuzzers实际上正在攻击这个漏洞,但因为没有崩溃,它仍然没有被发现。为了有效的模糊化,有必要记住这种情况的可能性,并采取措施防止它。
2.后期利用和恶意软件
我们看到,使用elevation-ofprivilege漏洞的主要目的是转储HKEY_LOCAL_MACHINESAM注册表配置单元的内容。
至于恶意软件,攻击者使用钴打击信标作为他们的主要工具。它与各种旨在防止反病毒检测的定制加载程序一起推出。
在我们归因于同一参与者的其他一些攻击中,我们还观察到,在利用CLFS特权提升漏洞之前,受害者的机器感染了一个名为“Pipemagic”的自定义模块化后门,该后门通过MSBuild脚本启动。去年年底,我们为卡巴斯基情报报告服务的客户发布了一份关于该恶意软件的私人报告。
在使用CVE-2023-28252零日的攻击中,该组织试图部署Nokoyawa勒索软件作为最后的有效载荷。Nokoyawa每年的变种只是 JSWorm勒索软件的“改头换面”的变种,我们以前写过。在这次攻击中,网络罪犯使用了与JSWorm代码库截然不同的新版Nokoyawa。它是用C写的,有加密字符串。它是通过一个加密的json配置启动的,并提供了一个“–config”命令行参数。
3.结论
我们看到网络犯罪集团的复杂程度显著提高。我们很少看到apt在攻击中使用零日漏洞,现在有一些受经济利益驱使的网络犯罪集团拥有获取未知漏洞漏洞的资源,并经常在攻击中使用它们。此外,有些开发人员愿意帮助网络犯罪集团,制造一个又一个漏洞。
我们检测到CVE-2023-28252漏洞和相关恶意软件,并做出如下判断:
1.PDM:Exploit.Win32.Generic
2.PDM:Trojan.Win32.Generic
3.HEUR:Trojan-Ransom.Win32.Generic
4.Win64.Agent*
卡巴斯基产品在行为检测引擎和漏洞防御组件的帮助下检测到这些攻击。CVE-2023-28252是在我们的技术帮助下在野外发现的零日名单中的最新成员。我们将继续通过增强技术和与第三方供应商合作来修补漏洞,为我们的用户提高防御能力,使互联网对每个人都更加安全。
卡巴斯基情报部门的客户可以获得关于这种攻击和相关攻击的更多信息 报告服务。联系人:[email protected]。 卡巴斯基感谢微软对报告和补丁的及时分析。
4.妥协的标志
原文始发于微信公众号(IRTeam工业安全):Nokoyawa零日勒索软件攻击Windows
