亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

利用Firefox 0day漏洞攻擊事件的分析

發布時間:2021-11-11 15:34:36 來源:億速云 閱讀:176 作者:柒染 欄目:編程語言

利用Firefox 0day漏洞攻擊事件的分析,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。

背景

近期的 Firefox漏洞CVE-2019-11707最早是 Google Project Zero的Samuel Gro?在4月15號提交的,不過他發現的0day只能導致代碼執行,卻無法進行Firefox的沙盒逃逸,因此如果在實際攻擊中利用應該還需要配合一個沙盒逃逸的漏洞。

利用Firefox 0day漏洞攻擊事件的分析

隨后在近日,數字貨幣交易機構Coinbase的安全人員向Firefox提交了其內部遭到攻擊時捕獲到的一個漏洞,該漏洞經過證明為一處沙盒逃逸的漏洞,并被命名為CVE-2019-11708。

利用Firefox 0day漏洞攻擊事件的分析

后續Coinbase的相關安全人員也公布了其中的 IOC,并且聲稱其并不是遭受攻擊的唯一數字貨幣交易機構。

Hash:

af10aad603fe227ca27077b83b26543b

de3a8b1e149312dac5b8584a33c3f3c6

C2 IP:

89.34.111.113:443

185.49.69.210:80

并且著名的Mac惡意樣本研究小站Objective-See發布了涉及該漏洞事件投遞的macOS 后門的分析報告(https://objective-see.com/blog/blog_0x43.html)。

結合報告披露的內容,有數字加密貨幣的相關人員收到了如下圖的郵件之后,點擊了對應的html從而導致后臺惡意代碼執行,有意思的是其提供的后續惡意代碼和之前Coinbase安全人員提供的一致,即de3a8b1e149312dac5b8584a33c3f3c6,因此將這個兩次事件聯系到一起,猜測這次0day的攻擊源頭來自于people.ds.cam.ac.uk/nm603/awards/Adams_Prize。

利用Firefox 0day漏洞攻擊事件的分析

隨后我們對相關線索進行進一步的分析。

分析

我們通過vt可以看到Coinbase提供的兩個樣本,其中主要關注第二個,該樣本和之前objective-see中提到的一致。

利用Firefox 0day漏洞攻擊事件的分析

第一次的提交時間為6月6日,來自于南非,第二次則是6月20日,來自于加拿大。

利用Firefox 0day漏洞攻擊事件的分析

再看看由Coinbase提供的兩個ip,89.34.111.113:443和185.49.69.210:80

其中89.34.111.113下就有之前提到的de3a8b1e149312dac5b8584a33c3f3c6(IconServicesAgent),除此之外一個還有一個windows相關的樣本,上傳時間為2018年4月16日。

利用Firefox 0day漏洞攻擊事件的分析

結合奇安信TIP 平臺也可以查看到該 IP 歷史對應的樣本,其為 Emotet,知名的銀行木馬。

利用Firefox 0day漏洞攻擊事件的分析

185.49.69.210:80下則沒有太多有效關聯信息。

利用Firefox 0day漏洞攻擊事件的分析

分析下de3a8b1e149312dac5b8584a33c3f3c6這個樣本,該樣本應該是 Mac 下的 Netwire RAT,Netwire RAT 是一個公開的木馬。樣本中有一處比較特殊的字符串"hyd7u5jdi8"。

利用Firefox 0day漏洞攻擊事件的分析

hyd7u5jdi8這個字符比較特殊,其曾在2012年的Netwire樣本中出現,該樣本號稱第一個mac osx及linux的樣本。

利用Firefox 0day漏洞攻擊事件的分析

而該Netwire 木馬之前也被APT組織和網絡犯罪團伙所使用。

例如被認為隸屬于伊朗的APT 33所使用, 著名的網絡犯罪團伙Carbanak和尼日利亞黑客組織SilverTerrier。

利用Firefox 0day漏洞攻擊事件的分析

利用Firefox 0day漏洞攻擊事件的分析

利用Firefox 0day漏洞攻擊事件的分析

有意思的是之后名為Vitali Kremez的研究人員介紹該字符串也出現在 FireEye在2017年5月報的CVE-2017-0261 eps 0day攻擊事件中。

利用Firefox 0day漏洞攻擊事件的分析

而在當時的攻擊中最后投遞的樣本正是Netwire。

利用Firefox 0day漏洞攻擊事件的分析

而從fireeye的報告中可以看到,這起攻擊中出現了三個團伙turla,apt28,及一個未知的經濟動機組織,該組織使用的正是NETWIERE,且其攻擊的目標為全球銀行組織在中東的相關機構。

利用Firefox 0day漏洞攻擊事件的分析

而我們注意到fireeye在2019年3月底的利用 WinRAR 漏洞CVE-2018-20250的攻擊活動報告中的一起攻擊活動中,提到了利用 WinRAR 漏洞投遞 Netwire 木馬,并且使用了89.34.111.113的 C2,其 C2 IP 地址和此次0day 漏洞的攻擊 C2相同。

利用Firefox 0day漏洞攻擊事件的分析

利用Firefox 0day漏洞攻擊事件的分析

總結

當前的證據似乎還不能完全歸屬到已知的攻擊組織,但結合上述關聯分析,我們可以做出如下推測:

1. 該組織應該以經濟牟利為重要攻擊動機,歷史攻擊目標可能為銀行,并延伸至數字貨幣交易所

2. 從目標地域來看,中東似乎是其主要目標,但結合文件上傳地分布,也不排除是全球性的

3. 使用 Netwire 作為其主要的 RAT 工具,值得注意的是 Netwire 是公開的商業版 RAT,并適配與多個平臺,攻擊者可能使用的帶有特定指紋的版本

4. 攻擊者似乎具備較強的0day 漏洞利用能力,但也不排除其是購買的0day 漏洞,但值得注意的是攻擊者一直處于活躍之中。

看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

安吉县| 仁布县| 通化县| 夏邑县| 六安市| 循化| 堆龙德庆县| 合山市| 乐安县| 盐山县| 临颍县| 武川县| 犍为县| 永宁县| 哈密市| 北辰区| 大港区| 霍山县| 辉县市| 从化市| 南康市| 宝丰县| 葫芦岛市| 武城县| 双辽市| 时尚| 昆明市| 株洲市| 安义县| 乌什县| 潮州市| 内丘县| 华蓥市| 定兴县| 武宣县| 游戏| 荆门市| 红原县| 玉环县| 北海市| 永宁县|