导语:今年,在黑客成功部署了两个0 day漏洞后,Internet Explorer的脚本引擎正式升级为朝鲜网络间谍组织最喜欢的攻击目标。

今年,在黑客成功部署了两个0 day漏洞后,Internet Explorer的脚本引擎正式升级为朝鲜网络间谍组织最喜欢的攻击目标。

没错,今天所说的这个组织就是DarkHotel,迈克菲和许多其他网络安全公司一致认为,这是一个与朝鲜政权存在联系的网络间谍组织。该组织自2007年以来一直处于活跃状态,但直至2014年才公开曝光在公众视野中。当时,卡巴斯基实验室发布了一份报告,详细介绍了该组织采取的一些黑客攻击手法,其中包括破坏数百家酒店的内部WiFi网络,以便通过恶意软件感染高端客户。

DH-1.png

尽管攻击手法在公开报道中得到了曝光,但是DarkHotel并没有就此停止攻击活动,其继续针对受害者(2016和2017年主要针对政治人物)采取相同的策略实施攻击。值得一提的是,在网络安全圈中,该组织还有很多不同的名称,包括APT-C-06、Dubnium、Fallout Team、Karba、Luder、Nemim、SIG25以及Tapaoux。

DarkHotel执着的偏好:INTERNET EXPLORER

直至2018年,该黑客组织仍然一直十分活跃,并且在多次攻击活动中采用了相同的技术——Internet Explorer的VBScript脚本引擎。

研究人员表示,DarkHotel黑客在今年4月份发现并利用了第一个IE 0 day(CVE-2018-8174),然后又在8月份利用了第二个IE 0 day(CVE-2018-8373)。据悉,CVE-2018-8174漏洞最初是由奇虎360的研究人员发现的,并将其戏称为“双杀(Double Kill)”,这是一个VBScript引擎远程执行代码漏洞,成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统,然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。

而CVE-2018-8373则是由网络安全公司趋势科技于今年7月份捕获到的一例在野0 day漏洞攻击,该攻击同样利用了Windows VBScript引擎的代码执行漏洞。研究人员经过分析对比发现,该0 day漏洞和2018年4月360公司首次发现的“双杀”漏洞使用了多个相同的攻击技术。对于这两款危害极大的0 day漏洞,微软公司已经分别于5月和9月完成了修复工作。

但是,根据近日奇虎360公司发布的一份新报告指出,该组织还为两个较旧的IE脚本引擎漏洞(即CVE-2017-11869和CVE-2016-0189)创建了新的漏洞利用。

研究人员介绍称,

经过分析,我们发现这4个漏洞(CVE-2017-11869和CVE-2016-018以及上述的CVE-2018-8174和CVE-2018-8373)的混淆和利用手法都高度一致,我们怀疑背后有一个写手(或团队),一直在开发vbscript的0 day利用并用于攻击活动。

0 day很难发现,甚至更难在可用的漏洞利用中武器化。而为旧漏洞创建新的漏洞利用更是一件困难的事情。我们可能永远都不会知道为什么DarkHotel要花费如此多的资源来针对Internet Explorer,但这种趋势对于所有APT研究人员来说都是非常明显且值得关注的。

攻击并未随IE VBscript引擎的“消亡”而消亡

Internet Explorer的VBScript脚本引擎并不是什么顶级微软技术,它实际上是Windows和Internet Explorer早期的一段古老代码,一直深受大量漏洞的困扰。

其实,早在多年前,微软就已经清楚的意识到该组件存在的安全隐患,并针对Web技术中的VBScript脚本技术发表过相关的声明,认为该技术应该被逐步淘汰,并不应该再被用做IE11的脚本语言。实际上,在IE11中,VBScript已经不能在Web页面显示中被执行了。但是,为了保证旧网站的兼容性,微软还是允许VBScript在传统文档模式中以临时解决方案的形式存在。

后来,到了2017年,随着Windows 10 Creators Update的推出,微软正式在其Windows官方博客中表示,允许用户在IE11中屏蔽面向所有的文档模式的VBScript实现。企业用户可以在组策略中配置这一功能,而普通用户可以通过注册表在安全区域中配置该功能,或者使用Microsoft Fix来一次性解决。

这一变化就意味着黑客无法再通过Windows 10中的Internet Explorer,使用VBScript代码对用户进行攻击。当然,此举也确实阻止了许多网络犯罪活动,但是DarkHotel似乎已经适应了微软最近的VBScript弃用公告。

据报道,DarkHotel已经发现了其他方法来加载脚本。例如,Office套件中的应用程序依赖IE引擎来加载和呈现Web内容。因此,该组织就选择使用嵌入在Office文档中的VBScript漏洞,并且不直接通过浏览器定位Internet Explorer用户。

相反地,DarkHotel会将Word文档发送给受害者,在文档中,他们可以通过可嵌入的IE框架加载恶意网页。DarkHotel黑客的选择无疑是非常明智的,因为2018年新出现的IE0 day漏洞表明,VBScript代码执行仍然可行。

根据目前的证据显示,随着微软继续为越来越多的用户禁用VBScript执行,该黑客组织可能正试图在VBScript漏洞利用变得毫无价值之前,充分发挥其“余热”,紧锣密鼓的部署一系列攻击活动。不知道,在今年结束之前,是否还会出现第5个针对IE VBScript的漏洞利用呢?

源链接

Hacking more

...