业界动态

分析最新的firefox 0day攻击

http://p0.qhimg.com/t01f59a2f90f1fdeaab.jpg

        Mozilla基金会于8月6日为Firefox浏览器发布了一个安全更新,来修复Firefox嵌入式PDF阅读器的pdf.js中的cve-2015-4495漏洞。该漏洞允许攻击者绕过同源策略,在本地文件上下文中远程执行JavaScript代码。 随后,攻击者便能够获得本地文件的读写权限,从而将其上传到远程服务器乐。当前,针对这个漏洞的利用非常猖狂,所以建议火狐用户立即更新到最新版本(截至目前最新版本为39.0.3)。

在本文中,我们将对涉及Windows、 及OS X系统的共同攻击细节展开详细介绍,并对两个不同版本的攻击脚本进行深入剖析。

根据ESET的LiveGrid ® 的判断,截至2015年7月27日,恶意脚本仍然托管于IP地址为185.86.77.48的服务器上面。此外,我们也从被入侵的一个论坛上得到了相应的佐证:

http://p2.qhimg.com/t01bebb34a12e2e4fac.png

注入该页面的恶意脚本引起了论坛用户的关注

乌克兰内政部网络犯罪打击部门的特工对我们的通知给予了迅速回应,并确认截至2015年7月27日为止,托管在乌克兰境内的恶意脚本的服务器仍然在线运行。

根据我们的威胁监测情况来看,这个服务器已经于2015年8月8日下线。

恶意脚本

这次发现的恶意脚本没有经过混淆处理,所以相对来说比较容易分析。然而,通过分析发现,攻击者对于Firefox浏览器的内部细节非常熟悉。

恶意脚本通过空的PDF blob生成了一个IFRAME,当Firefox将要利用内部PDF阅读器PDF.js打开这个PDF blob的时候,就会有新的代码被注入到之前生成的IFRAME中,具体如图2所示。 当这段代码执行时,会在wrappedJSObject中创建一个新的sandboxContext属性。此外,还将一个JavaScript函数写入到了这个sandboxContext属性中。 后面的代码将会调用这个函数。同时,利用这些步骤就能过成功地绕过同源策略。

http://p1.qhimg.com/t015962157d80dec792.png

创建sandboxContext属性的代码

这个漏洞利用代码不仅写得非常稳妥,而且运行起来也非常流畅。 但是,它仍然会显示一条警告信息,如果是技术比较在行的用户,可能就会注意到这一点。

http://p0.qhimg.com/t01b936963a088b2421.png

被入侵网站上显示的警告信息

在成功利用这个安全漏洞之后,控制权将会传递给代码的漏洞利用部分。这个脚本能够同时支持Linux及Windows操作系统。 在Windows系统上面,它会搜索流行的FTP客户端(比如FileZilla、SmartFTP等等)、SVN客户端、即时通信客户端和Amazon S3 客户端的配置文件。

http://p2.qhimg.com/t01180d36f13589b2cd.png

第一版恶意脚本在Windows系统上的文件收集列表

这些配置文件中很可能会包含有登录名和口令。

在Linux系统上面,这个攻击脚本将会向远程服务器发送下列文件:

    /etc/passwd

    /etc/hosts

    /etc/hostname

    /etc/issue

除此之外,这个脚本还会分析/etc/passwd文件以便取得系统用户的主目录homedir。之后,这个脚本便会在上面搜集到的主目录之外搜索文件,从而避免在标准系统用户的主目录(比如daemon、bin、sys、sync,等等)中进行查找。

http://p4.qhimg.com/t0195dfe5327e554a60.png

第一版恶意脚本在Linux系统上的文件收集列表

这个脚本将收集和上传下面类型的文件:

    历史记录(bash、MySQL、PostgreSQL)

    SSH的相关配置文件和授权密钥

    用于远程访问软件Remmina的配置文件

    FileZilla的配置文件

    PSI+相关配置

    可能是证书和shell脚本的文本文件

显而易见,该恶意脚本的第一个版本的目的是收集网站管理员最常用的数据,以便于攻击者进一步继续入侵更多的网站。

恶意软件的第二种版本

就在Mozilla为Firefox浏览器发新补丁之后的第二天,攻击者就开始全面跟进:他们注册了两个新的域名,并对他们的攻击脚本进行了相应的改进。

这两个新的域名分别是maxcdnn[.]com (93.115.38.136)和acintcdn[.]net (185.86.77.48)。其中,第二个ip地址与这个恶意软件的第一版本中的完全一致。攻击者之所以选择这两个域名,可能是觉得这两个域名看起来非常像是属于内容交付网络(CDN)的缘故。用于Windows操作系统的改进脚本,不仅会收集应用程序的配置文件,而且还会收集所有其中含有可能对攻击者有用的词汇(比如口令、帐户、比特币、信用卡、漏洞、证书,等等)组合的文本文件:

http://p1.qhimg.com/t0195dfe5327e554a60.png

用于Windows平台的第二版攻击脚本的文件收集列表

同时,攻击者也改进了用于Linux平台的攻击脚本,新添加了需要搜集的文件。此外,攻击者还开发了用于Mac OS X操作系统的代码:

http://p7.qhimg.com/t014dcbb7b4138141cf.png

第二版攻击代码在Mac系统上面收集的目标文件

有些俄语评论员误将这个代码归类为Duqu系列恶意软件,因为这两种恶意软件中的某些变量都带有“dq”字样。

类似的攻击

因为这个bug容易利用,并且攻击脚本已经在网上传播开来,所以已经有越来越多的攻击者开始使用它了。我们发现,已经有许多组织迅速将这个漏洞收于麾下,它们主要见于google-user-cache[.]com (108.61.205.41)上的成人网站。

这个恶意脚本所做的事情与最初的版本并无二致,只不过它所收集的文件有所不同:

http://p3.qhimg.com/t01615832023662c594.png

类似攻击中的文件搜集列表

小结

最近,Firefox浏览器被发现了一个严重的安全漏洞,并且该漏洞的利用代码已经在网络上开始使用。 通过分析该漏洞利用代码,我们发现该恶意软件作者对于Firefox的内部构造有着极深的造诣。此外,该漏洞之所以引起我们的关注,是因为在大多数情况下,这些漏洞利用代码通常都会被用作以窃取数据为目的其他特洛伊木马的感染手段。 但是,就这里来说,完全没有必要,因为这个恶意脚本本身就能够从受害者系统上面窃取敏感文件。

另外,该漏洞利用代码被发现后不久,就被其他攻击者加以改造并重新投入了使用。这是恶意软件世界的一贯风尚。

ESET首先检查出了该恶意脚本,并将其记为JS/Exploit.CVE-2015-4495。我们强烈建议Firefox用户立即更新到已经修复该漏洞的版本,即39.0.3。此外,用户也可以通过将pdfjs.disabled设为true来禁用Firefox内置的PDF阅读器。

下面列出部分已被入侵的服务器:

hxxp://www.akipress.org/

hxxp://www.tazabek.kg/

hxxp://www.super.kg/

hxxp://www.rusmmg.ru/

hxxp://forum.cs-cart.com/

hxxp://www.searchengines.ru/

hxxp://forum.nag.ru/

攻击中所用服务器:

maxcdnn[.]com (93.115.38.136)

acintcdn[.]net (185.86.77.48)

-user-cache[.]com (108.61.205.41)

Hashes (MD5):

0A19CC67A471A352D76ACDA6327BC179547A7A25

2B1A220D523E46335823E7274093B5D44F262049

19BA06ADF175E2798F17A57FD38A855C83AAE03B

3EC8733AB8EAAEBD01E5379936F7181BCE4886B3

转自360安全播报:http://bobao.360.cn/learning/detail/578.html

(0)

本文由 V泡网 作者:Lefat 发表,转载请注明来源!

领券么

热评文章

评论:

5 条评论,访客:5 条,博主:0 条
  1. mac吧
    mac吧发布于: 

    测试 windows edgo浏览器

  2. 最励志官网
    最励志官网发布于: 

    网站不错,雁过留痕,欢迎互访!

  3. 爱奇趣分享网
    爱奇趣分享网发布于: 

    爱奇趣网http://www.iqiqu.net/? 路过留个言!

  4. 歪妖内涵网
    歪妖内涵网发布于: 

    路过,留个脚印,网站很棒!

  5. 妹子糗事
    妹子糗事发布于: 

    路过,留个脚印,网站很棒!

发表评论

电子邮件地址不会被公开。 必填项已用*标注