2023年2月,卡巴斯基技術公司在中東、北美和之前的亞洲地區的中小型企業的Microsoft Windows服務器上檢測到多次試圖執行類似的權限提升攻擊。這些漏洞與我們之前分析的已知通用日志文件系統(CLFS)驅動程序漏洞非常相似,但我們決定再次檢查,這是值得的。其中一個漏洞被證明是零日漏洞。

他支持不同版本的Windows,包括Windows 11。該漏洞被高度混淆,其80%以上的代碼被優雅地“垃圾”編譯成二進制文件,但我們很快完全逆轉了它,并向微軟報告了我們的發現。

微軟將CVE-2023-28252分配給通用日志文件系統特權提升漏洞,并于2023年4月11日發布了補丁,作為四月星期二補丁的一部分。

雖然我們在過去發現的大多數零日都是由apt使用的,但這個特殊的零日是由一個復雜的網絡犯罪集團使用的,該集團實施勒索軟件攻擊。該組織因使用大量相似但獨特的通用日志文件系統(CLFS)驅動程序漏洞而聞名,這些漏洞可能由同一漏洞作者開發。至少從2022年6月開始,我們已經發現了針對零售和批發、能源、制造和醫療保健的攻擊中使用的五種不同的漏洞。

軟件開發等行業,利用CVE-2023-28252零日,試圖部署Nokoyawa勒索軟件作為最后的有效載荷。

1.特權提升利用

攻擊者必須通過用戶訪問的身份驗證,并且能夠在目標系統上運行代碼來發起特權提升攻擊。

CLFS是在Microsoft Windows Server 2003 R2/Microsoft Vista中首次引入的日志文件子系統,在clfs.sys驅動程序中實現。這個文件系統可以被任何應用程序使用,微軟為它提供了一個API。使用CreateLogFile函數創建日志–日志由一個基本日志文件(.blf文件擴展名),它是一個包含元數據的主文件,以及許多保存實際數據的容器。 使用AddLogContainer和AddLogContainerSet函數創建容器。您可能已經猜到,基本日志文件是最有趣的。雖然微軟提供了一個API來使用它們,但是它們的文件格式是沒有文檔記錄的,開發者只能通過CLFS API與它們進行交互。當在十六進制編輯器中簡單查看時,基本日志文件的文件結構看起來并不復雜,并且微軟為clfs.sys提供了調試符號,因此如果有足夠的熱情,這種格式可以被逆向工程(已經由Alex lonescu完成)。只要看一眼基本日志文件的結構,就會立刻發現一個危險信號——該文件由內核結構組成,甚至還有存儲內存指針的字段!事實上,根據API文檔,這項技術非常復雜,而且是很久以前開發的,因此我們有大量的漏洞。搜索“Windows通用日志文件系統驅動程序特權提升漏洞”顯示,自2018年以來,已發現至少三十二個此類漏洞(不包括CVE-2023-28252),其中三個是 在野外被檢測為零日(CVE-2022-24521,CVE- 2022-37969,CVE-2023-23376)。

CVE-2023-28252是一個越界寫入(增量)漏洞,當系統試圖擴展元數據塊時,可以利用該漏洞。操縱基本日志文件會觸發該漏洞。 就現在。我們不會分享關于漏洞以及如何觸發漏洞的任何其他細節,因為這些信息可能被用作雙刃劍。這是為了確保每個人都有足夠的時間在其他參與者為CVE開發漏洞之前修補他們的系統-202328252。我們將在4月補丁星期二后的第九天更新這篇文章。

發現的利用漏洞利用此漏洞來破壞另一個特制的基本日志文件對象,使基本日志文件中的虛假元素被視為真實元素。_CLFS_CONTAINER_CONTEXT是存儲在基本日志文件中的結構的一個例子,但是包含一個用于存儲內核指針的字段。當然,當從磁盤上的基本日志文件中讀取該結構時,該字段的值會被忽略,但是在內存中將指向valid _CLFS_CONTAINER_CONTEXT結構的偏移量更改為指向特制的惡意_CLFS_CONTAINER_CONTEXT結構的偏移量,可以在用戶級別提供一個指向受控內存的指針,并獲得內核讀/寫權限。

該漏洞通過泄漏內核對象的地址來實現穩定的利用。這是通過使用NtQuerySystemlnformation函數來完成的——這是我們之前在其他零日(例如PuzzleMaker)中看到的技術。 MysterySnail APT案例)。漏洞利用使用的信息類需要介質IL才能工作。

我們認為CVE-2023-28252在引信的幫助下很容易被發現。但是在這個組件中已經發現了這么多漏洞,所以如果它可以通過fuzzing發現,為什么以前沒有發現呢?我們有一個可能的解釋。檢查反匯編程序中的clfs.sys驅動程序代碼,會發現大量使用try/catch塊來捕獲異常。在代碼的許多部分,當異常發生時,它被異常處理程序屏蔽,代碼繼續正常執行,就像什么也沒發生一樣。我們驗證了CVE-2023-28252在觸發漏洞后可能出現的訪問違規被異常處理程序掩蓋。這讓我們認為以前的fuzzers實際上正在攻擊這個漏洞,但因為沒有崩潰,它仍然沒有被發現。為了有效的模糊化,有必要記住這種情況的可能性,并采取措施防止它。

2.后期利用和惡意軟件

我們看到,使用elevation-ofprivilege漏洞的主要目的是轉儲HKEY_LOCAL_MACHINE\SAM注冊表配置單元的內容。

至于惡意軟件,攻擊者使用鈷打擊信標作為他們的主要工具。它與各種旨在防止反病毒檢測的定制加載程序一起推出。

在我們歸因于同一參與者的其他一些攻擊中,我們還觀察到,在利用CLFS特權提升漏洞之前,受害者的機器感染了一個名為“Pipemagic”的自定義模塊化后門,該后門通過MSBuild腳本啟動。去年年底,我們為卡巴斯基情報報告服務的客戶發布了一份關于該惡意軟件的私人報告。

在使用CVE-2023-28252零日的攻擊中,該組織試圖部署Nokoyawa勒索軟件作為最后的有效載荷。Nokoyawa每年的變種只是 JSWorm勒索軟件的“改頭換面”的變種,我們以前寫過。在這次攻擊中,網絡罪犯使用了與JSWorm代碼庫截然不同的新版Nokoyawa。它是用C寫的,有加密字符串。它是通過一個加密的json配置啟動的,并提供了一個“–config”命令行參數。

3.結論

我們看到網絡犯罪集團的復雜程度顯著提高。我們很少看到apt在攻擊中使用零日漏洞,現在有一些受經濟利益驅使的網絡犯罪集團擁有獲取未知漏洞漏洞的資源,并經常在攻擊中使用它們。此外,有些開發人員愿意幫助網絡犯罪集團,制造一個又一個漏洞。

我們檢測到CVE-2023-28252漏洞和相關惡意軟件,并做出如下判斷:

1.PDM:Exploit.Win32.Generic

2.PDM:Trojan.Win32.Generic

3.HEUR:Trojan-Ransom.Win32.Generic

4.Win64.Agent* 

卡巴斯基產品在行為檢測引擎和漏洞防御組件的幫助下檢測到這些攻擊。CVE-2023-28252是在我們的技術幫助下在野外發現的零日名單中的最新成員。我們將繼續通過增強技術和與第三方供應商合作來修補漏洞,為我們的用戶提高防御能力,使互聯網對每個人都更加安全。

卡巴斯基情報部門的客戶可以獲得關于這種攻擊和相關攻擊的更多信息 報告服務。聯系人:intelreports@kaspersky.com。 卡巴斯基感謝微軟對報告和補丁的及時分析。

4.妥協的標志


日志文件 零日漏洞 網絡安全 勒索 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接