利用重組 VirtualBox 漏洞發現的 AcidBox 惡意軟件

在2017年針對兩個不同俄羅斯組織的網絡攻擊中，一個未知的威脅行為體使用了一個“非常罕見”的惡意軟件。

研究人員發現了名為AcidBox的高級惡意軟件，他們說，早在2017年，一個神秘的網絡團伙就曾兩次使用它對付俄羅斯組織。在周三發布的一份報告中，Palo Alto Networks的第42分隊揭露了針對使用AcidBox惡意軟件的流行開源虛擬化軟件VirtualBox的攻擊。

第42分隊對VirtualBox攻擊的死后調查始于2008年，當時核心安全部門的研究人員在WindowsVista安全機制中發現了一個名為驅動程序簽名強制（DSE）的錯誤。該漏洞允許攻擊者禁用DSE并將惡意軟件安裝到Oracle VirtualBox軟件的目標實例上。影響VirtualBox驅動程序的錯誤（CVE-2008-3431）VBoxDrv.sys系統已在版本1.6.4中修補。

快速前進到2014年，臭名昭著的Turla集團開發了第一個惡意軟件，濫用第三方設備驅動程序禁用DSE，武器化核心安全的研究。Turla集團的攻擊還集中在VirtualBox驅動程序上。盡管Oracle在2008年發布了補丁，Turla的運營商還是成功地解決了如何使用其惡意軟件禁用DSE的問題。這是因為，根據第42分隊，盡管修復了錯誤（CVE-2008-3431），但在2008年間，只有兩個漏洞中的一個被修復。

“Turla使用的漏洞中實際上濫用了兩個漏洞，其中只有一個（用CVE-2008-3431）被修復過，”42號分隊在周三發布的報告中寫道。研究人員說，Turla集團的惡意軟件還針對了第二個DSE漏洞(VBoxDrv.sys系統v1.6.2），這個漏洞與后來使用被認定為AcidBox惡意軟件的VirtualBox驅動程序相關。

快進到2019年，就在那時，42號機組說它第一次發現了一個已經上傳到VirusTotal的AcidBox樣本。研究人員隨后追蹤到AcidBox惡意軟件是針對VirtualBox驅動程序的新攻擊VBoxDrv.sys系統v1.6.2，以及v3.0.0之前的所有其他版本。

“由于惡意軟件的復雜性、稀有性以及它是更大工具集的一部分這一事實，我們相信它曾被高級威脅行為體用于目標攻擊，如果攻擊者仍處于活動狀態，很可能今天仍在使用此惡意軟件，”Palo Alto 網絡公司42小組的研究人員Dominik Reichel和Esmid Idrizovic寫道。

盡管Turla集團和網絡黑幫在最近的VirtualBox攻擊背后有相似之處，但研究人員說，這兩個威脅集團沒有聯系。

VirtualBox攻擊

Turla使用的漏洞濫用了兩個漏洞。2008年修復的第一個缺陷（CVE-2008-3431）存在于VBoxDrv.sys系統. 此函數無法正確驗證與Irp對象關聯的緩沖區，從而允許本地用戶通過打開\.\VBoxDrv設備并調用DeviceIoControl發送精心編制的內核地址來獲得權限。

然而，第二個漏洞仍然沒有修補，并用于Trula的新版本的攻擊，研究人員認為，這是在2014引入的威脅集團的內核模式惡意軟件。正是這一漏洞，在2017年針對兩家俄羅斯公司的攻擊中，AcidBox背后的一個尚不為人所知的威脅因素發揮了杠桿作用。

“[AcidBox]使用已知的VirtualBox漏洞來禁用Windows中的驅動程序簽名強制，但有一個新的變化：盡管眾所周知，VirtualBox驅動程序VBoxDrv.sys系統“v1.6.2是易受攻擊的，由Turla使用，這個新的惡意軟件使用相同的漏洞，但有一個稍新的VirtualBox版本，”研究人員說。

惡意軟件

AcidBox惡意軟件本身是一個復雜的模塊化工具包。研究人員只能使用這個工具包的一小部分。他們發現了四個64位用戶模式dll和一個未簽名的kernelmode驅動程序。三個（四個用戶模式示例中的一個（msv1_0.dll，pku2u.dll，wdigest.dll)具有相同的功能，是主要工作模塊的加載程序，研究人員說。

研究人員還指出，攻擊者正在使用自己的DEF文件（而不是將export指令添加到對象文件中，這樣用戶就不需要使用DEF文件）來指示何時導入或導出其dll。DEF文件（或模塊定義文件）是包含一個或多個描述DLL各種屬性的模塊語句的文本文件。使用DEF文件時，攻擊者可以選擇其導出函數的序號。

“這在declspec（dllexport）中是不可能的，因為Visual Studio編譯器總是從一個開始計算函數，”研究人員說。“使用DEF文件而不是declspec（dllexport）有一些優點。您可以按序號導出函數，還可以重定向函數等。缺點是您必須在項目中維護一個附加文件。”

研究人員說，向前看，AcidBox是一種“非常罕見”的惡意軟件，可能用于高目標攻擊。

“雖然AcidBox沒有使用任何全新的方法，但它打破了只有VirtualBox VBoxDrv.sys系統1.6.2用于Trula開發的神話，”他們說。在圖標資源中附加敏感數據作為覆蓋，在Windows注冊表中濫用SSP接口進行持久性和注入以及有效負載存儲，都將它們歸入感興趣的惡意軟件類別中。