疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析

這篇文章將為大家詳細講解有關疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

一.事件背景

在2020年9月初，安恒信息威脅情報中心獵影實驗室捕獲到了一個來自白俄羅斯的rtf樣本，其被命名為：“СВЕДЕНИЯ О ПОДСУДИМОМ.rtf”（大致意思為“被告人的相關信息”）。

偽裝文件內容為刑事案件登記卡，內容中可以看出與最高法院司法部門的相關信息，文檔里面的語言屬于俄語，這份模板可以在俄羅斯的一個教育的網站上下載到。

顯然攻擊者利用了“白俄羅斯總統大選結束后，爆發大規模活動，大量人員被捕事件”發起的網絡攻擊。

攻擊者使用了之前從未公開漏洞利用代碼的JS引擎解析漏洞CVE-2020-0968進行的攻擊，該漏洞曾被微軟認定為未被利用。未知1day的利用，說明這次的攻擊者具備非常高的技術實力或經濟實力（花錢購買漏洞），其利用的木馬使用一個命名為 “Domino”函數的特殊性，所以我們將此次活動命名為多米諾行動（Operation Domino）。

二.攻擊概述

該文檔利用未公開利用代碼的CVE-2020-0968漏洞，實現加載遠程惡意木馬，其攻擊手法專業，下載的木馬具備合法數字簽名，其除了傳統的木馬功能，還會修復存在漏洞利用的文檔，一看就是專業團隊。

三.武器詳細分析

樣本以內嵌URL Moniker 的rtf文檔為載體，遠程加載了位于http://94.156.174[.]7/up/a1a.htm 的網頁文件，

遠程加載的網頁文件內嵌一個之首次被觀察到在野利用的jscript漏洞，

獵影實驗室對該漏洞進行了分析，發現這是一個IE瀏覽器jscript.dll模塊中的UAF漏洞。jscript在處理兩個對象(type=0x81)的相加操作時，CScriptRuntime::Run會連續兩次調用VAR::GetValue獲取對應的值，開發者沒有將期間保存到棧上的variant變量加入GC追蹤列表。如果對象實現了自定義toString方法，VAR::GetValue內部會進一步調用NameTbl::InvokeInternal函數，這個函數可以調用自定義的toString，在第二個VAR::GetValue導致的回調中，可以手動釋放相關variant變量，回調函數返回時，CScriptRuntime::Run會再次使用被釋放的variant變量，造成UAF。

通過補丁分析，可以確認該漏洞出現在雙星漏洞(CVE-2020-0674)之后，且在2020年4月的補丁中被修復。

值得注意的是，2020年4月微軟確實修復了一個等級為“Critical”的IE漏洞，并在初始發布時將其標注為“Exploited: Yes”，但隨后微軟將其修改為“Exploited: No”，這件事當時還引起了安全研究人員的討論：

結合修復時間和上述信息，我們合理推斷本次攻擊使用的漏洞為CVE-2020-0968 Jscript遠程代碼執行漏洞。此次攻擊中的漏洞利用采用和之前出現過的Jscript UAF漏洞相同的利用方式，先借助漏洞泄露一個RegExp對象的地址，緊接著利用RegExp對象偽造一個超長BSTR，借助此BSTR數組實現越界讀，在此基礎上偽造一個假的RegExpObj對象，最終借助正則引擎實現任意地址讀寫，實現ShellCode執行。

ShellCode執行成功后，會從遠程地址http://94.156.174[.]7/up/a1a.dll下載附加模塊，并解密執行，解密方法為簡單的異或，key為“weHnh”。解密得到dll文件中含有一個名為“Domino”的導出函數，經判斷為主要功能函數。

Dll樣本會找到自身rtf/doc文檔，并找到“{\object\\objemb ……}”所在內容并進行刪除，而這部分內容正是內嵌的URL Moniker數據。

刪除URL Moniker后，dll會再次打開文檔。此時原始文檔已被修改為干凈的文檔。

隨后，Dll會執行一個內嵌的EXE程序，

該EXE后門使用了打印機圖標進行偽裝，偽裝為Microsoft Windows Fax and Scan程序，其包含有效的數字證書，簽名人信息為“Sizg Solutions GmbH”。該EXE程序被VMP加殼，輸入表被加密：

該后門啟動后會創建了一個窗口標題為“8Wsa1xVPfvJcrgRY”，類名為“frAQBc”的窗口。

接著進入消息循環機制，大部分惡意功能都是在窗口處理函數WindowProc里面實現，當窗口收到窗口創建消息WM_CREATE時，后門發送自定義消息觸發其他關鍵惡意流程：

大部分的消息碼對應的函數功能統計如下表：

動態獲取API地址后，通過wmi命令獲取各類操作系統、硬件、用戶信息等信息

大量不同密鑰通過異或算法解密出HTTP通訊需要HTTP頭信息，用于構造Post請求的數據包

通訊數據被AES加密，后門內置3組密鑰，在不同功能模塊使用不同密鑰處理數據

由于后門被VMP保護以及內部混淆較嚴重，對分析造成了很大干擾，目前的分析發現的主要功能包括：

●加密上傳收集的用戶信息

●截圖獲取用戶桌面以及更新自身

四.關聯猜想

本次攻擊中用到了一個之前未出現在公眾視野的JScript漏洞，從漏洞利用手法來看，之前只有DarkHotel擁有此類原創的JScript新漏洞利用。不過，在對后續載荷進行分析的過程中，我們并未發現有DarkHotel的明顯特征。考慮到此次漏洞使用時是一個1Day，不排除其他組織從相關渠道獲取了這個漏洞利用并進行攻擊。

網絡暗戰在政治軍事博弈中起到了關鍵性作用，在政治軍事情報體系運營過程中，從收集信息到網絡空間基礎設施打擊都能夠起到意想不到的作用。

正如此次活動中使用的dll的功能函數“Domino”（多米諾），推動第一步后，多米諾所帶來的連鎖反應導致一系列的引導式的變化。這里再暢想一點，上個世紀50年代，由美國總統艾森豪威爾首先提出的多米諾理論，是對當時針對東南亞形式的非常重要的一條理論，東南亞地區一個國家的政治傾向只要出現第一例，那么這個地區的其他國家就會像多米諾骨牌一樣，一個接一個的傾向于一個方向。其用在當前局勢下，也十分應景。

此次為首次發現在野利用的疑似CVE-2020-0968漏洞，說明攻擊組織有一定的實力。針對“Domino”函數的特殊性，我們將此次活動命名為多米諾行動（Operation Domino）。

微軟已經不對windows 7系統提供服務支持了，所以默認不會推送補丁，如果是windows7用戶需要手動去微軟網站下載補丁進行安裝。

關于疑似CVE-2020-0968遠程代碼執行漏洞被發現的示例分析就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。