当前位置: 新闻中心 > 公司新闻

近期APT攻击事件频发—安恒信息再次成功检测到APT攻击样本

日期:2016-03

>>>>

前言

乌克兰电力系统受到APT攻击事件,给国内外企业和用户都敲响了警钟,与此同时,安恒信息在国内也监控到了多次APT攻击。近期,安恒信息APT威胁分析设备在某用户网络中发现了一个APT攻击样本,这是一个由EncapsulatedPostScript(EPS) filter模块(32bit下模块为EPSIMP32.FLT)中一个User-After-Free漏洞所构造的利用样本

该样本可在多种环境下触发成功,使攻击成功率大大增强,且该样本中的ROP技巧使用了一种较新的方法,该方法可以绕过EMET等防护软件的检测,攻击具有极强的指向性和隐蔽性,属于典型的针对性的APT攻击。

>>>>

漏洞成因及利用分析

当EPS在处理字典类型(dict)的copy操作时,会将接受拷贝方的键值对条目全部删除,然后再重新分配一个进行数据拷贝(正常情况下在字典拷贝时只对要拷贝的元素进行操作,而不影响其它元素)。

字典copy操作过程中的delete过程

而EPS在处理forall操作时,当处理类型为字典(dict)时,forall逐个处理字典(dict)中的每个键值对,forall会获得当前键值对的内容以及一个ptrNext指针指向下一个要处理的键值对,并将键(key)和值(value)的内容放到操作栈中,然后处理forall的处理过程(proc),处理完后仍保留ptrNext指针以处理下一个键值对。而如果在forall处理过程(proc)中有字典的拷贝(copy)操作,copy操作会将键值对条目全部删除,而forall的ptrNext指针仍存在着,这时ptrNext就变成一个野指针,只要精心构造指针指向的数据,就可以达到利用效果。

forall处理字典类型时的部分过程

如该样本利用方式为通过该野指针最终构造出一个起始地址为0x0,大小为0x7fffffff的string对象,这样就可以在该空间内作任意的读写作为后期ROP及shellcode等的利用。

>>>>样本危害和影响

Shellcode的功能主要为释放一个DLL并加载执行。

溢出成功后会释放一个恶意的dll文件。

样本的行为过程

该dll文件在前台打开伪装的原文件名doc,并显示“文件毁损严重无法正常开启”及大量乱码,迷惑用户掩盖入侵痕迹。其实它在后台尝试下载黑客特定的远程后门模块,经过解密和手动内存加载,减少安全软件报警机率及磁盘文件残留。

该后门模块短小精悍,但功能强大。支持IE浏览器注入、HTTP中间人攻击、本地磁盘文件读写操作、键盘记录、屏幕获取、局域网资源操作、网络状态及端口映射、注册表/进程/服务等系统操作、远程shell命令和文件执行、屏幕锁定、重启注销关机、消息框弹窗等黑客指令和模块。

>>>>

结语

该漏洞及利用样本的威胁程度非常高,可以在多种环境下成功利用,并且其构造的ROP链及shellcode能够绕过多款安全性增强工具的检测,所以需要做好防范工作。

关于安恒信息

杭州安恒信息技术有限公司(DBAPPSecurity)是由国家千人计划专家范渊先生于2007年创办,是中国领先的信息安全产品和服务解决方案提供商,阿里巴巴使命级战略合作伙伴。作为云安全、应用安全、大数据安全和智慧城市安全等前沿领域的领导品牌,继2015年入选全球网络安全500强(中国仅4家)后,2016年再次入选,并居中国企业榜首。曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、抗战七十周年、连续两届世界互联网大会等重大活动提供全方位网络信息安全保障。

公司主营业务涵盖云计算安全,大数据安全以及应用安全、数据库安全、移动互联网安全、智慧城市安全等,包括安全态势感知、威胁情报分析、攻防实战培训、顶层设计、标准制定、课题和安全技术研究、产品研发、产品及服务综合解决方案提供等。

安恒信息通过"云监测、云防护、云审计、云应用"四大产品线构建全生命周期的一站式"安恒云"平台,为用户提供全方位、立体式的安全托管服务,帮助用户更快速、更安全、更放心的拥抱云计算和大数据,目前"安恒云"防护模式已在各大云平台成功实践并拥有上千家云客户案例。是政府军工、公检法司、运营商、金融能源、财税审计、教育医疗、互联网+等行业值得信赖的网络安全首选品牌!

 


同时用户可以下载E安全app获得最及时的安全资讯、预警信息及风险威胁指数等等,下载地址:http://www.easyaq.com/


如果有读者就文章内容希望与安恒信息的专家进行交流,欢迎拨打我们的客服热线进行垂询:400-6059-110。
或者通过以下方式联系我们。
电子邮件 :info@dbAppsecurity.com.cn
关注安恒信息官方微信号:DBApp2013 即可与我们的客服人员即时沟通