[[389120]]

谷歌Project Zero研究人員發(fā)現(xiàn)神秘黑客組織在2020的攻擊活動(dòng)中使用了11個(gè)0 day漏洞，其中攻擊目標(biāo)包括安卓、iOS 和Windows 用戶。

概述

2020年10月，谷歌Project Zero研究人員發(fā)現(xiàn)有7個(gè)0 day漏洞的在野利用。這些漏洞利用通過(guò)水坑攻擊來(lái)進(jìn)行傳播，其中有2個(gè)漏洞利用服務(wù)器保存了安卓、Windows和iOS 設(shè)備的漏洞利用鏈。這些攻擊活動(dòng)似乎是2020年2月發(fā)現(xiàn)的攻擊活動(dòng)的下一輪更新。

研究人員首先發(fā)現(xiàn)了到第二個(gè)漏洞利用服務(wù)器的鏈接。在根據(jù)IP 地址和用戶代理進(jìn)行初始指紋分析后，有iframe 被注入到了指向2個(gè)漏洞利用服務(wù)器之一的網(wǎng)站。

研究人員在測(cè)試過(guò)程中發(fā)現(xiàn)，這兩個(gè)漏洞利用服務(wù)器存在于所有發(fā)現(xiàn)的域名中。其中：

漏洞利用服務(wù)器1:

最開始只響應(yīng)iOS和Windows 用戶代理;

研究人員在從服務(wù)器下載漏洞利用時(shí)服務(wù)器仍然活躍;

在CVE-2020-15999 漏洞被修復(fù)后，用新的v8 0 day漏洞(CVE-2020-16009)來(lái)替換;

在漏洞利用服務(wù)器2下線后也響應(yīng)安卓用戶代理。

漏洞利用服務(wù)器2:

響應(yīng)安卓用戶代理;

研究人員在從服務(wù)器下載漏洞利用后服務(wù)器仍然活躍了約36小時(shí);

與漏洞利用服務(wù)器1相比，該服務(wù)器響應(yīng)的IP 地址范圍更小。

上圖表明連接到受感染的網(wǎng)站的設(shè)備的流程。設(shè)備會(huì)被重定向到漏洞利用服務(wù)器1或漏洞利用服務(wù)器2。然后根據(jù)設(shè)備和瀏覽器傳播以下漏洞利用：

針對(duì)所有的平臺(tái)都使用了混淆和反分析檢查，但是每個(gè)平臺(tái)的混淆都是不同的。比如，iOS 是唯一使用臨時(shí)密鑰(ephemeral key)加密的，也就是說(shuō)漏洞利用無(wú)法在抓包的情況下恢復(fù)，而是需要中間人才能實(shí)現(xiàn)漏洞利用的重寫。

這些漏洞利用使得研究人員相信漏洞服務(wù)器1和漏洞服務(wù)器2背后的實(shí)體是不同的，但是互相處于一種協(xié)作模式。兩個(gè)漏洞利用服務(wù)器都使用了Chrome Freetype RCE (CVE-2020-15999)漏洞，但是漏洞利用的代碼卻是不同的。因此，研究人員相信這是兩個(gè)不同的運(yùn)營(yíng)者。

攻擊者利用的7個(gè)0 day漏洞如下：

•  CVE-2020-15999 - Chrome Freetype堆緩存溢出漏洞;
• CVE-2020-17087 - Windows cng.sys中的堆緩存溢出漏洞;
•  CVE-2020-16009 - TurboFan map deprecation中的Chrome type confusion
•  CVE-2020-16010 – Chrome安卓版堆緩存溢出漏洞
•  CVE-2020-27930 - Safari 任意棧讀寫漏洞
•  CVE-2020-27950 - iOS XNU kernel 內(nèi)存泄露漏洞
•  CVE-2020-27932 - iOS kernel type confusion with turnstiles

總結(jié)

Project Zero 研究人員發(fā)現(xiàn)，攻擊者在2020年的攻擊活動(dòng)中使用了多個(gè)0 day漏洞利用鏈和7個(gè)0 day漏洞利用。與2020年早期的攻擊活動(dòng)中，攻擊者在1年里使用了至少11個(gè)0 day漏洞利用。

本文翻譯自：https://googleprojectzero.blogspot.com/2021/03/in-wild-series-october-2020-0-day.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。