利用Firefox 0day漏洞攻擊事件的分析

利用Firefox 0day漏洞攻擊事件的分析，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

背景

近期的 Firefox漏洞CVE-2019-11707最早是 Google Project Zero的Samuel Gro?在4月15號提交的，不過他發現的0day只能導致代碼執行，卻無法進行Firefox的沙盒逃逸，因此如果在實際攻擊中利用應該還需要配合一個沙盒逃逸的漏洞。

隨后在近日，數字貨幣交易機構Coinbase的安全人員向Firefox提交了其內部遭到攻擊時捕獲到的一個漏洞，該漏洞經過證明為一處沙盒逃逸的漏洞，并被命名為CVE-2019-11708。

后續Coinbase的相關安全人員也公布了其中的 IOC，并且聲稱其并不是遭受攻擊的唯一數字貨幣交易機構。

Hash：

af10aad603fe227ca27077b83b26543b

de3a8b1e149312dac5b8584a33c3f3c6

C2 IP：

89.34.111.113:443

185.49.69.210:80

并且著名的Mac惡意樣本研究小站Objective-See發布了涉及該漏洞事件投遞的macOS 后門的分析報告（https://objective-see.com/blog/blog_0x43.html）。

結合報告披露的內容，有數字加密貨幣的相關人員收到了如下圖的郵件之后，點擊了對應的html從而導致后臺惡意代碼執行，有意思的是其提供的后續惡意代碼和之前Coinbase安全人員提供的一致，即de3a8b1e149312dac5b8584a33c3f3c6，因此將這個兩次事件聯系到一起，猜測這次0day的攻擊源頭來自于people.ds.cam.ac.uk/nm603/awards/Adams_Prize。

隨后我們對相關線索進行進一步的分析。

分析

我們通過vt可以看到Coinbase提供的兩個樣本，其中主要關注第二個，該樣本和之前objective-see中提到的一致。

第一次的提交時間為6月6日，來自于南非，第二次則是6月20日，來自于加拿大。

再看看由Coinbase提供的兩個ip，89.34.111.113:443和185.49.69.210:80

其中89.34.111.113下就有之前提到的de3a8b1e149312dac5b8584a33c3f3c6（IconServicesAgent），除此之外一個還有一個windows相關的樣本，上傳時間為2018年4月16日。

結合奇安信TIP 平臺也可以查看到該 IP 歷史對應的樣本，其為 Emotet，知名的銀行木馬。

185.49.69.210:80下則沒有太多有效關聯信息。

分析下de3a8b1e149312dac5b8584a33c3f3c6這個樣本，該樣本應該是 Mac 下的 Netwire RAT，Netwire RAT 是一個公開的木馬。樣本中有一處比較特殊的字符串"hyd7u5jdi8"。

hyd7u5jdi8這個字符比較特殊，其曾在2012年的Netwire樣本中出現，該樣本號稱第一個mac osx及linux的樣本。

而該Netwire 木馬之前也被APT組織和網絡犯罪團伙所使用。

例如被認為隸屬于伊朗的APT 33所使用， 著名的網絡犯罪團伙Carbanak和尼日利亞黑客組織SilverTerrier。

有意思的是之后名為Vitali Kremez的研究人員介紹該字符串也出現在 FireEye在2017年5月報的CVE-2017-0261 eps 0day攻擊事件中。

而在當時的攻擊中最后投遞的樣本正是Netwire。

而從fireeye的報告中可以看到，這起攻擊中出現了三個團伙turla，apt28，及一個未知的經濟動機組織，該組織使用的正是NETWIERE，且其攻擊的目標為全球銀行組織在中東的相關機構。

而我們注意到fireeye在2019年3月底的利用 WinRAR 漏洞CVE-2018-20250的攻擊活動報告中的一起攻擊活動中，提到了利用 WinRAR 漏洞投遞 Netwire 木馬，并且使用了89.34.111.113的 C2，其 C2 IP 地址和此次0day 漏洞的攻擊 C2相同。

總結

當前的證據似乎還不能完全歸屬到已知的攻擊組織，但結合上述關聯分析，我們可以做出如下推測：

1. 該組織應該以經濟牟利為重要攻擊動機，歷史攻擊目標可能為銀行，并延伸至數字貨幣交易所

2. 從目標地域來看，中東似乎是其主要目標，但結合文件上傳地分布，也不排除是全球性的

3. 使用 Netwire 作為其主要的 RAT 工具，值得注意的是 Netwire 是公開的商業版 RAT，并適配與多個平臺，攻擊者可能使用的帶有特定指紋的版本

4. 攻擊者似乎具備較強的0day 漏洞利用能力，但也不排除其是購買的0day 漏洞，但值得注意的是攻擊者一直處于活躍之中。

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。