钱柜777老虎机游戏

钱柜777老虎机游戏平安研讨院 0day破绽也搞交融:歹意PDF样本细致剖析

2018年3月末,ESET研讨职员发明了一个风趣的歹意PDF样本。细心察看发明,该示例应用了两个先前未知的破绽:Adobe Reader中的近程代码实行破绽和Microsoft Windows中的特权晋级破绽。

组合的破绽的运用十分弱小,由于它容许打击者实行恣意代码,对易受打击的目的具有最高能够的特权,而且只要最大批的用户交互。APT构造常常运用这种组合来实行他们的打击,比方客岁的Sednit运动。

一旦发明了PDF样本,ESET就与Microsoft平安呼应中央,Windows Defender ATP研讨团队和Adobe产物平安事情呼应团队联络并一同任务,由于他们修复了这些错误。 


{07}76{)V(9]BE6}VK668T2.png


【破绽编号】CVE-2018-4990;CVE-2018-8120

【危害品级】严峻

【影响版本】

  • Acrobat DC (2018.011.20038 and earlier versions)

  • Acrobat Reader DC (2018.011.20038 and earlier versions )

  • Acrobat 2017 (011.30079 and earlier versions)

  • Acrobat Reader DC 2017 (2017.011.30079 and earlier versions)

  • Acrobat DC (Classic 2015) (2015.006.30417 and earlier versions)

  • Acrobat Reader DC (Classic 2015) (2015.006.30417 and earlier versions)

  • Windows 7 for 32-bit Systems Service Pack 1

  • Windows 7 for x64-based Systems Service Pack 1

  • Windows Server 2008 for 32-bit Systems Service Pack 2

  • Windows Server 2008 for Itanium-based Systems Service Pack 2

  • Windows Server 2008 for x64-based Systems Service Pack 2

  • Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1

【平安补丁】

Adobe以及微软也提供了相应补丁及平安通告,辨别如下:

  • APSB18-09

  • CVE-2018-8120

【技能细节】

1、PDF

PDF是电子文档文件款式,与其他罕见文档款式一样,打击者可以应用该范例文件将歹意软件传达至受益者盘算机。为实行歹意代码,打击者必需找到并应用PDF阅读器软件中的破绽。PDF阅读器软件较多,Adobe Reader最常用。


Adobe Reader软件中有一个沙箱平安功用,也称维护形式。Adobe在官方博客上公布了相干技能细节,分为四局部(Part 1、Part 2、Part 3、Part 4)。沙箱使破绽应用愈加困难:即便打击者可以实行代码,照旧必需绕过沙箱的维护机制才干打破运转Adobe Reader的盘算机。通常状况下,打击者需求借助操纵零碎自身的破绽来绕过沙箱维护机制。


固然打击者可以同时找到Adobe Reader软件以及目的操纵零碎中的破绽并编写应用顺序,不外这种状况十分稀有。


2、CVE-2018-4990:Adobe Reader的RCE破绽

歹意PDF样本中嵌入了javascript代码,用来控制整个破绽应用进程。一旦PDF文件被翻开,代码就会被实行。


在破绽应用开端阶段,javascript代码开端利用Button1工具,该工具包括JPEG2000图像,该图像在Adobe Reader中触发双重破绽。


[8~[Z@~8C7_EELPOV_DMM1I.png

      操控Button1工具的javascript代码


javascript代码中用到了堆放射(heap-spray)技能以毁坏外部数据构造。在这些操纵都完成后,打击者就完成了他们的次要目的:从javascript代码中完成内存的读取及写入。


DO4QZ9]9U`UPU[Y]50A6B23.png

 用来读取及写入内存javascript代码


运用这两个进程,打击者找到Escript.api插件的内存地点,该插件是Adobe javascript引擎。运用该模块的汇编指令(ROP gadgets),歹意javascript乐成结构了一条ROP链,这将招致实行当地shellcode。


G$)ACUBE}L{J@QG}]M%MU]V.png

构建ROP链的歹意javascript


最初,shellcode会初始化PDF中的PE文件,并实行权递交给该文件。


3、CVE-2018-8120:Windows权限提拔破绽

应用Adobe Reader破绽后乐成,打击者必需毁坏沙箱维护机制,这是第二个应用代码的目标地点。


未知破绽的源头在于win32k Windows内核组件中的NtUserSetImeInfoEx函数。更详细一些,便是NtUserSetImeInfoEx的SetImeInfoEx子例程没有验证数据指针,容许某个NULL指针被排除援用(dereference)。


EL8I{`FYE2KU[DDT@@6ZBGH.png

反汇编后的SetImeInfoEx例程代码


如图上图所示,SetImeInfoEx函数的第一个参数为指向颠末初始化的WINDOWSTATION工具的指针。假如打击者创立了一个新的window station工具,并将其分派给用户形式下确当行进程,所述spklList就会即是0。因而,经过映射NULL页面并将指针设置为偏移量0x2C后,打击者就可以应用这个破绽写入内核空间中的任何地点。必需留意的是,从Windows 8开端,用户历程不克不及再映射NULL页面。


既然打击者具有恣意写入权限,他们就可以运用种种办法施行打击,不外在我们剖析的这个例子中,打击者选择运用Ivanlef0u以及Mateusz “j00ru” JurczykGynvael Coldwin引见的一种技能。打击者重写了全局描绘符表(GDT,Global Descriptor Table)来创立Ring 0的一个call gate)(挪用门)。为了完成这个义务,打击者运用SGDT汇编指令获取了原始的GDT信息,结构本人的表然后运用后面提到的破绽重写了原始的表。


随后,破绽应用顺序运用CALL FAR指令实行了跨权限级另外挪用。


6%R[2R}T_R(P%IU5EI}49RG.png

反汇编后的CALL FAR指令


一旦代码在内核形式实行,破绽应用零碎令牌交换以后历程的标志。


4、结论

最后,ESET研讨职员在将PDF样本上载到歹意样本的大众存储库时发明了该样本。样本不包括终极打击无效载荷,这能够标明它在其晚期开辟阶段。虽然样本没有包括真正的歹意终极打击无效载荷,这能够标明它在晚期开辟阶段,但作者展现了在破绽发明和应用写作方面的高程度技艺。 

【IoC】

ESET检测标识:

JS/Exploit.Pdfka.QNVtrojan

Win32/Exploit.CVE-2018-8120.A trojan

SHA-1哈希:

C82CFEAD292EECA601D3CF82C8C5340CB579D1C6

0D3F335CCCA4575593054446F5F219EBA6CD93FE

【参考链接】

https://www.welivesecurity.com/2018/05/15/tale-two-zero-days/

破绽剖析内容仅供参考,详细内容表达以及寄义以原文为准