谷歌研究人员发现macOS漏洞利用。

谷歌研究人员在macOS系统中发现了一个安全漏洞——CVE-2021-30869。攻击者利用该漏洞可以以kernel权限执行任意代码。8月底,谷歌研究人员发现了该漏洞的0 day在野利用,本文详细介绍利用该0 day漏洞的攻击活动情况。

水坑攻击

研究人员在攻击者控制的服务器上发现了攻击中使用的网站中含有2个iframe,其中一个是iOS漏洞利用,一个是macOS漏洞利用。

iOS漏洞利用

iOS漏洞利用链使用基于Ironsquirrel的框架来加密传递到受害者浏览器的加密漏洞利用。研究人员尚未获得完整的iOS利用链,只发现攻击者利用CVE-2019-8506漏洞在Safari浏览器中实现代码执行。

macOS漏洞利用

macOS漏洞利用使用的框架与iOS不同。加载页中含有1个简单的HTML页面,可以加载2个脚本,一个是Capstone.js,一个是漏洞利用链。

脚本

参数rid 是一个全局计数器,会记录漏洞利用的尝试次数。研究人员发现该漏洞利用链时该计数器已经达到200了。

漏洞利用链开始时JS会在运行漏洞利用前检查访问者是否运行macOS Mojave (10.14)或Catalina (10.15)。研究人员用Mojave访问站点时只接收到一个未加密的漏洞利用链。

远程代码执行

通过在最新的Safari (14.1)浏览器版本上加载含有WebKit RCE的页面,研究人员发现并没有成功触发该漏洞利用。为验证该假设,研究人员运行git bisect,并确定目前已经修复。

沙箱逃逸和本地权限提升

Capstone.js

研究人员发现攻击者在漏洞利用链中使用了Capstone.js,而该js文件常被用于二进制文件分析。攻击者使用它来在内存中搜索dlopen和dlsym的地址。


capstone.js

Capstone.js的配置为X86-64而非ARM,因此可以推测目标硬件为基于Intel的Mac。

嵌入的Mach-O

WebKit RCE 成功执行后,嵌入的Mach-O二进制文件就会加载到内存中,修复并运行。通过分析,研究人员发现该二进制文件中含有可以逃逸Safari沙箱、进行权限提升、从C2下载第二阶段内容的代码。

Mach-O

提取的二进制文件进行了混淆。解码后的字符串如下所示:

解码后,研究人员发现其中含有从C2下载文件的代码。

在下载payload后,会移除文件的隔离属性以绕过检测。然后提升权限来安装payload。

为在虚拟环境下运行漏洞利用,研究人员在Python环境下写了一个加载器来实现以下功能:

◼加载Mach-O到内存中;

◼找到dlopen 和 dlsym的地址;

◼用dlopen 和 dlsym的地址填充内存中加载的Mach-O;

◼运行Mach-O时传递payload url作为参数。

MACMA Payload

权限提升到root后,下载的payload就会被加载并在受害者机器后台运行。Payload通过数据分发服务(DDS)框架与C2进行通信。其中含有多个组件,其中部分组件被配置成了模块。其中该后门的常见功能包括:

◼获取受害者指纹信息

◼截取用户屏幕

◼文件下载和上传

◼执行终端命令

◼录制音频

◼记录键盘输入

点击获取【网络安全学习技术资料·指南】

利用该0 day漏洞的攻击活动情况相关推荐

  1. 【安全漏洞】黑客利用IE 0 day漏洞部署VBA恶意软件

    远程模板 研究人员分析settings.xml.rels中嵌入的远程模板发现其中含有完全特征的VBA 远程访问木马,可以执行以下功能: ◼收集受害者信息: ◼识别受害者机器上运行的反病毒软件: ◼执行 ...

  2. 谷歌发现利用零日漏洞的攻击、黑客通过漏洞入侵红十字会|2月17日全球网络安全热点

    安全资讯报告 新加坡将加强网络钓鱼诈骗后的安全措施 新加坡正在加强安全措施,以支持当地的银行和通信基础设施,其中包括短信服务提供商需要在发送消息之前检查注册表.预计银行还将开发"更通用&qu ...

  3. 揭秘“0 day漏洞”:一款强大却脆弱的武器

    所谓"0 day漏洞"就是尚未被供应商修复的安全漏洞,且这些漏洞可被恶意行为者滥用并转化为一款威力强大但却脆弱的攻击武器.近年来,越来越多的证据显示,各国政府正在购买和使用0 da ...

  4. 致远a8-v5-6.0协同管理软件_高危漏洞利用预警:近期利用“致远OA任意文件写入漏洞”的攻击较多...

    概述腾讯御界高级威胁检测系统近期监测到"致远OA系统上的GetShell漏洞"在网上被频繁利用攻击政企客户. 对于存在漏洞的OA系统,攻击者无需任何权限,即可向服务器上传websh ...

  5. CVE-2021-40444 0 day漏洞利用

    9月7日,微软发布安全公告称发现Windows IE MSHTML中的一个远程代码执行漏洞,CVE编号为CVE-2021-40444.由于未发布漏洞补丁,微软只称该漏洞可以利用恶意ActiveX控制来 ...

  6. Buhtrap在最新监控活动中使用多个0 day漏洞

    Buhtrap组织主要攻击俄罗斯的金融结构和企业.从2015年底开始,研究人员发现该组织的攻击目标发生了变化,从完全获取经济利益目的转变为扩展恶意软件工具集来对东欧和中亚地区发起监控活动. 研究人员追 ...

  7. Metasploit 渗透测试框架的基本使用(扩展:利用永恒之蓝漏洞攻击WIN7靶机)

    1.Metasploit 渗透测试框架介绍 1.基础库:metasploit 基础库文件位于源码根目录路径下的 libraries 目录中,包括Rex,framework-core 和 framewo ...

  8. Chrome 0 day漏洞利用链

    远程代码执行漏洞利用 所有的攻击活动都是通过Chrome浏览器执行的.虽然研究人员无法获取漏洞利用的JS代码,但是研究人员根据相关攻击活动的时间轴推测出了利用的漏洞--CVE-2021-21224.此 ...

  9. 谷歌披露利用 Windows 和安卓双平台的高阶攻击活动

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 2020年初,谷歌 Project Zero 团队检测到专门针对安卓和 Windows 设备的高阶攻击活动,并在今天通过博客披露. 谷 ...

最新文章

  1. SAP MM A工厂下的PR可以转成B工厂下的PO?
  2. 服务器购买是有无系统,买服务器含不含操作系统
  3. 谷歌生物医学专用翻译_文献翻译|知云翻译,写论文必备~
  4. 【Linux】—— /usr/bin/perl 被 MySQL-community-server-8.0.26-1.el7.x86_64 需要,解决方法
  5. 建基小型计算机,建碁AOpenminiITX小型化平台应用(44页)-原创力文档
  6. 环境复制_PostgreSQL热备之流复制环境搭建以及常见问题处理
  7. .md是什么文件_Element-UI源码阅读之md显示到页面
  8. @configurationproperties注解的使用_SpringBoot常用注解的简单理解
  9. 什么是document对象?如何获取文档对象上的元素?_dom对象
  10. 吴恩达CS229速查表
  11. python pprint_python读写文件(七)
  12. matlab求解方程2x的5次,5元二次方程求解
  13. 华为ADSL路由设置
  14. 职业-企业家:企业家
  15. EndNote X8参考文献样式下载与自定义
  16. 河南财经政法大学计算机基础,河南财经政法大学就“忘开必修课”情况说明
  17. 招银网络java面经
  18. 关于Android 4.4(华为)调用系统相机问题
  19. c语言之奇偶数分开排序
  20. 使用python画k均值分类图

热门文章

  1. ML之FE:特征工程中数据缺失值填充的简介、方法、全部代码实现之详细攻略
  2. 成功解决AttributeError : ‘GridSearchCV‘ object has no attribute ‘grid_scores_‘
  3. 成功解决ModuleNotFoundError: No module named 'torchvision.ops'
  4. Interview:算法岗位面试—10.11下午—上海某公司算法岗位(偏机器学习,互联网数字行业)技术面试考点之XGBoost的特点、python的可变不可变的数据类型、赋值浅拷贝深拷贝区别
  5. BlockChain:《区块链技术在医疗领域应用分析》—中投顾问《2016-2020年区块链技术深度调研及投资前景预测报告》听课笔记
  6. Py之neurolab:Python库之neurolab的简介、安装、使用方法之详细攻略
  7. 9.2 mnist_with_summaries tensorboard 可视化展示
  8. 【强烈推荐】最好理解的LSTM与GRU教程
  9. mssql sqlserver 对不同群组对象进行聚合计算的方法分享
  10. MATLAB在数学建模中的应用(三)