近期需警惕的两个在野利用的Nday漏洞(漏洞利用攻击威胁组件)

同时，朝鲜攻击组织也在不断的更新其攻击手法和武器库。
在近期的攻击活动中就使用了两个Nday（虽然是Nday,但是漏洞还是比较新的），并且使用的exploit代码并未在网络上公开。

Adobe Reader Use-After-Free漏洞

Adobe Acrobat和Reader版本2020.009.20074及更早版本、

2020.001.30002、2017.011.30171及更早版本和 2015.006.30523及更早版本

存在释放后使用漏洞。
成功利用可以导致任意代码执行。

某朝鲜APT组织最近的一些PDF样本使用了一个网上没有公开exploit代码的Nday漏洞，经确认漏洞编号为CVE-2020-9715，以下为从某样本中提取出来的部分漏洞利用代码，可以看到相关特征与网上公开的CVE-2020-9715概念验证代码高度一致：

图：本次攻击所使用的漏洞利用代码

图：网上公开的CVE-2020-9715概念验证代码

Windows 内核提权漏洞

受影响的版本:Windows 10 1909/1903、KB4556799 及其它更早版本

当Windows内核未能正确处理内存中的对象时，存在权限提升的漏洞。
成功利用此漏洞的攻击者可以在内核模式下运行任意代码。

除此之外，某朝鲜APT组织在从7月份开始的部分攻击中还使用了使用了另一个网上没有公开exploit代码的Nday提权漏洞，该漏洞可以实现从Low权限提升到Medium权限，因此可以逃逸IE浏览器的沙箱。
经过仔细验证，我们确认该漏洞编号为CVE-2020-0986，这是一个Windows打印机组件的提权漏洞。
在实际攻击中，攻击者使用的是一个模块化的提权组件，该提权组件配合一个用来加载的DLL，可以实现在IE浏览器中执行任意恶意代码的目的。
从下图的复现图中可以看到，通过在IE浏览器中点击一次恶意链接，该提权组件成功弹出了一个权限为Medium的cmd窗口，从而绕过了IE的保护模式（保护模式下的权限为Low）。

图：借助CVE-2020-0986提权组件绕过IE浏览器保护模式

有意思的是，该提权组件成功运行后还会记录完整的利用日志，某次成功利用漏洞后的日志如下：

图：示例，提权漏洞成功利用后生成的log.log日志

上述输出的日志里面有一部分CVE-2021-1648公开poc中的字符串，然而经过严格的补丁验证，我们确信该提权组件利用的漏洞为CVE-2020-0986，而不是CVE-2021-1648，更不是CVE-2019-0880。

猜想

朝鲜APT组织在最近几个月的攻击行动中越来越多地使用一些网上没有公开资料的主流软件Nday漏洞利用组件，这和该组织以往的特点不相符。
我们猜测其有可能招募了有能力的人开发这类漏洞武器，也有可能从别处购买了这类漏洞武器，最后一种可能是，联系到今年年初朝鲜黑客对Twitter上二进制漏洞研究员的大面积攻击，不排除该组织和之前进行攻击的组织之间存在联系，他们在使用从其他研究员那里窃取的漏洞武器来进行攻击。

图：防不胜防，黑客利用VISUAL STUDIO编译器特性定向攻击二进制漏洞安全研究员截图

安恒APT攻击预警平台能够发现已知或未知威胁，平台能实时监控、捕获和分析恶意文件或程序的威胁性，并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。

同时，平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量的威胁情报等，对网络流量进行深度分析。
检测能力完整覆盖整个APT攻击链，有效发现APT攻击、未知威胁及用户关心的网络安全事件。

安恒主机卫士EDR通过“平台+端”分布式部署，“进程阻断+诱饵引擎”双引擎防御已知及未知类型威胁。

CVE-2020-9715 PDF漏洞攻击样本：

359ab5e0b57da0307ca9472e5b225dcd0f9dc9bf2efd2f15b1ca45b78791b6bc

512ad244c58064dfe102f27c9ec8814f3e3720593fe1e3ed48a8cb385d52ff84

5ea7a724d99fab3f05f50dccd57db59451334ac8640c532d426df319dad55c9e

7900ca98a6fbed74aa5a393758c43ad7abc9d8c73c3fbab7af93bae681065f4e

83292ba7a1ddda6acf32181c693aa85b9e433fcb908a94ebccbed0f407a1a021

87ac78a96a221ebf61f90011cadb4e7a2ee9575758e6ffa20912464bf5d1f6ca

CVE-2020-0986 打印机组件提权漏洞样本：

c70c2fa91a457953cd6316b0f46ef4fe37cec00fa53aeec7e6650804a43ee38c

40d9e6a34942f0e93fa4d2b72eab8223fc9da3815e990966487caca9af13dc3b

7ce9be1bd5f31c688924b3b81d83d7a7e8d3bf92b83b414eae49d63b2da727e4

PS：每日更新整理国内外威胁情报快讯，帮助威胁研究人员了解及时跟踪相关威胁事件

关注微信公众号：安恒威胁情报中心

获取一手原创安全分析报告