发稿赚钱
文章
文章用户黑客集市安全文库快讯黑客圈

针对安全人员的水坑攻击

释放双眼,带上耳机,听听看~!

 

0x00

事件背景

CVE-2023-20871是Pwn2Own温哥华黑客大赛,由STAR Labs团队的安全人员展示的漏洞。它是一个基于堆栈的缓冲区溢出漏洞,存在于Vmware的虚拟机共享主机设备蓝牙的功能中。

CVE-2023-35829是Linux内核版本6.3.2之前的一个漏洞,存在于rivers/staging/media/rkvdec/rkvdec.c 的 rkvdec_remove 函数中,是一个UAF(use-after-free,释放后重用)漏洞。

 

0x01

事件过程

2023年7月3日

GitHub上名为ChriSanders22的用户发布了CVE-2023-35829-poc和CVE-2023-20871-poc。

 

2023年7月4日

推特用户st0ic3r发现该PoC是虚假的并且藏有后门。

2023年7月11日

至此该用户已删除仓库及账号,但仍有上传相同PoC的用户存在。

 

 

0x02

技术分析

下载的文件存在很多疑点。

首先是Makefile文件。其第17行执行了./src/aclocal.m4文件。

使用file和strings查看一下该文件,发现该文件使用了很多获取Linux系统信息的系统调用,如getenv,getpid等。显然不正常。

IDA对该文件逆向分析。

首先判断文件名,如果文件名不为kworker就复制一份命名为kworker,然后修改.bashrc文件,在下次重新启动Bash Shell的时候启动该文件。

如果文件名为kworker,每隔120秒,执行exeCommandFromC2函数。exeCommandFromC2函数中,程序从C2服务器http[:]//cunniloss[.]accesscam[.]org/hash.php中获取命令,并执行,获取的命令与0x83异或解密。

从C2服务器上下载的脚本会执行屏幕截图,添加SSH密钥,随后会将用户数据压缩,与屏幕截图一起上传到攻击者控制的服务器。

 

0x03

相关反应

2023年7月4日,已有安全研究人员发现PoC是虚假的,并在该仓库的issue中提出。

2023年7月11日,ChriSanders22账号及其发布的虚假PoC仓库已删除。但仍然存在其他用户创建的相同的仓库。

 

0x04

事件启示

本次事件是一起针对安全人员的水坑攻击,通过发布虚假的PoC并在Makefile文件中写入执行后门的语句。因此,当安全人员编译该PoC的时候会执行恶意文件,从而遭受攻击。

虚假的PoC使用新的命名空间进行伪装,在新的命名空间中将当前UID映射到UID 0(root)。这使得在获取新的shell时,使用id或whoami命令显示的是root用户。此外,本次的后门使用UTF-16字符集编码的字符串硬编码存储C2服务器的地址,其对ASCII字符双字节的XX 00编码可以有效的反制Strings和反汇编软件对程序中字符串的获取。

其实,针对安全人员的水坑攻击并不少见,在2023年6月,也有使用Microsoft Exchange等流行软件PoC进行水坑攻击的事件。

综上所述,对一个企业来说,各类人员都是攻击的对象,普通员工可能遭受邮件钓鱼,开发人员引入第三方组件时可能引入恶意代码,而安全人员可能会在使用安全工具、漏洞PoC、Exp时执行了后门或恶意程序。

遭遇以上攻击时,若运行恶意代码的宿主机是服务器就会导致其他服务器被横向渗透,造成业务系统的沦陷;若运行恶意代码的宿主机是受害者个人持有,攻击者同样可能通过Wifi渗透内网,并窃取个人主机的敏感信息,如服务器密钥,VPN账号等。可见,无论是哪种情况,都可能使被攻击者遭受巨大的损失

​洞源实验室
​安全工程师:hu1y40
2023 年 7 月 21 日晚

给TA买糖
共{{data.count}}人
人已赞赏
安全漏洞漏洞分享漏洞分析
洞源实验室
供应链检测中心旗下实验室,专注供应链安全、产品测评、漏洞研究、代码审计
78篇作品227,021总阅读量
行业热点

双双入选!安全狗高管获思明区2023年度总部经济和重点产业人才称号

2023-7-24 13:27:47

行业热点

IPUU的小工具拍了拍你(下)

2023-7-26 20:31:45

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

  • 扫码打开当前页

  • 微信公众号

  • 指尖安全头条号

返回顶部