关键词:
谷歌研究人员发现macOS漏洞利用。
谷歌研究人员在macOS系统中发现了一个安全漏洞——CVE-2021-30869。攻击者利用该漏洞可以以kernel权限执行任意代码。8月底,谷歌研究人员发现了该漏洞的0 day在野利用,本文详细介绍利用该0 day漏洞的攻击活动情况。
水坑攻击
研究人员在攻击者控制的服务器上发现了攻击中使用的网站中含有2个iframe,其中一个是iOS漏洞利用,一个是macOS漏洞利用。
iOS漏洞利用
iOS漏洞利用链使用基于Ironsquirrel的框架来加密传递到受害者浏览器的加密漏洞利用。研究人员尚未获得完整的iOS利用链,只发现攻击者利用CVE-2019-8506漏洞在Safari浏览器中实现代码执行。
macOS漏洞利用
macOS漏洞利用使用的框架与iOS不同。加载页中含有1个简单的HTML页面,可以加载2个脚本,一个是Capstone.js,一个是漏洞利用链。
脚本
参数rid 是一个全局计数器,会记录漏洞利用的尝试次数。研究人员发现该漏洞利用链时该计数器已经达到200了。
漏洞利用链开始时JS会在运行漏洞利用前检查访问者是否运行macOS Mojave (10.14)或Catalina (10.15)。研究人员用Mojave访问站点时只接收到一个未加密的漏洞利用链。
远程代码执行
通过在最新的Safari (14.1)浏览器版本上加载含有WebKit RCE的页面,研究人员发现并没有成功触发该漏洞利用。为验证该假设,研究人员运行git bisect,并确定目前已经修复。
沙箱逃逸和本地权限提升
Capstone.js
研究人员发现攻击者在漏洞利用链中使用了Capstone.js,而该js文件常被用于二进制文件分析。攻击者使用它来在内存中搜索dlopen和dlsym的地址。
capstone.js
Capstone.js的配置为X86-64而非ARM,因此可以推测目标硬件为基于Intel的Mac。
嵌入的Mach-O
WebKit RCE 成功执行后,嵌入的Mach-O二进制文件就会加载到内存中,修复并运行。通过分析,研究人员发现该二进制文件中含有可以逃逸Safari沙箱、进行权限提升、从C2下载第二阶段内容的代码。
Mach-O
提取的二进制文件进行了混淆。解码后的字符串如下所示:
解码后,研究人员发现其中含有从C2下载文件的代码。
在下载payload后,会移除文件的隔离属性以绕过检测。然后提升权限来安装payload。
为在虚拟环境下运行漏洞利用,研究人员在Python环境下写了一个加载器来实现以下功能:
◼加载Mach-O到内存中;
◼找到dlopen 和 dlsym的地址;
◼用dlopen 和 dlsym的地址填充内存中加载的Mach-O;
◼运行Mach-O时传递payload url作为参数。
MACMA Payload
权限提升到root后,下载的payload就会被加载并在受害者机器后台运行。Payload通过数据分发服务(DDS)框架与C2进行通信。其中含有多个组件,其中部分组件被配置成了模块。其中该后门的常见功能包括:
◼获取受害者指纹信息
◼截取用户屏幕
◼文件下载和上传
◼执行终端命令
◼录制音频
◼记录键盘输入
点击获取【网络安全学习技术资料·指南】
什么是0day漏洞?如何预防0day攻击?
...称为0day,正是因为其补丁永远晚于攻击。所以攻击者利用0day漏洞攻击的成功 查看详情
(转)计算机漏洞安全相关的概念pocexpvulcve0day(代码片段)
...洞是真实存在的。2.EXPEXP,Exploit,中文意思是“漏洞利用”。意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法。3.VULVUL,Vulnerability的缩写,泛指漏洞... 查看详情
windows远程命令执行0day漏洞安全预警
...人的图片 一、概要ShadowBrokers泄露多个Windows远程漏洞利用工具,可以利用SMB、RDP服务成功入侵服务器,可以覆盖全球 70%的Windows服务器,且POC已公开,任何人都可以直接下载并远程攻击利用。二、漏洞级别 查看详情
计算机漏洞安全相关的概念pocexpvulcve0day(代码片段)
...真实存在的。2.EXPEXP,Exploit,中文意思是“漏洞利用”。意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码ÿ 查看详情
hadoopyarnrestapi未授权漏洞利用挖矿分析
一、背景5月5日腾讯云安全团队曾针对“攻击者利用HadoopYarn资源管理系统RESTAPI未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码”的安全问题进行预警,在预警的前后我们曾多次捕获相关的攻击案例,... 查看详情
利用windows0day漏洞部署devilstongue恶意软件
导读以色列情报公司Candiru利用微软7月补丁日中修复的2个0day漏洞,部署名为DevilsTongue的新恶意软件。0x00事件概述近日,微软和CitizenLab发现Candiru(微软称为Sourgum)利用微软7月补丁日中修复的2个0day漏洞(CVE-20... 查看详情
水坑攻击
...与钓鱼攻击相比,黑客无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强。在人们安全意识不断加强的今天,黑客处心积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则利用了被攻击者对网站的信任。... 查看详情
eternalblue永恒之蓝漏洞复现
...目的永恒之蓝(EternalBlue)是由美国国家安全局开发的漏洞利用程序,对应微软漏洞编号ms17-010。该漏洞利用工具由一个名为”影子经济人”(ShadowBrokers)的神秘黑客组织于2017年4月14日公开的利用工具之一,该漏洞利用工具针... 查看详情
网站安全防护(waf)有啥用
...全服务,为云主机提供WEB安全防护服务,能够有效防黑客利用应用程序漏洞入侵渗透。网站安全防护的主要功能:漏洞攻击防护:网站安全防护目前可拦截常见的web漏洞攻击,例如SQL注入、XSS跨站、获取敏感信息、利用开源组件... 查看详情
攻击图技术总结
...含2类顶点和2类边:顶点:漏洞:存在漏洞的服务和通过利用该漏洞攻击者可以获取的权限,在图中表示为矩形顶点;条件:攻击者当前所具有的权限,在图中表示为椭圆顶点。边:条件->漏洞:漏洞的前置条件;漏洞->条件... 查看详情
攻击图技术总结
...含2类顶点和2类边:顶点:漏洞:存在漏洞的服务和通过利用该漏洞攻击者可以获取的权限,在图中表示为矩形顶点;条件:攻击者当前所具有的权限,在图中表示为椭圆顶点。边:条件->漏洞:漏洞的前置条件;漏洞->条件... 查看详情
攻击图技术总结
...含2类顶点和2类边:顶点:漏洞:存在漏洞的服务和通过利用该漏洞攻击者可以获取的权限,在图中表示为矩形顶点;条件:攻击者当前所具有的权限,在图中表示为椭圆顶点。边:条件->漏洞:漏洞的前置条件;漏洞->条件... 查看详情
攻击图技术总结
...含2类顶点和2类边:顶点:漏洞:存在漏洞的服务和通过利用该漏洞攻击者可以获取的权限,在图中表示为矩形顶点;条件:攻击者当前所具有的权限,在图中表示为椭圆顶点。边:条件->漏洞:漏洞的前置条件;漏洞->条件... 查看详情
攻击图技术总结
...含2类顶点和2类边:顶点:漏洞:存在漏洞的服务和通过利用该漏洞攻击者可以获取的权限,在图中表示为矩形顶点;条件:攻击者当前所具有的权限,在图中表示为椭圆顶点。边:条件->漏洞:漏洞的前置条件;漏洞->条件... 查看详情
攻击图技术总结
...含2类顶点和2类边:顶点:漏洞:存在漏洞的服务和通过利用该漏洞攻击者可以获取的权限,在图中表示为矩形顶点;条件:攻击者当前所具有的权限,在图中表示为椭圆顶点。边:条件->漏洞:漏洞的前置条件;漏洞->条件... 查看详情
【网警提醒】基础网络攻防之webshell攻击
...喻。Webshell攻击的特点有哪些?1持续远程访问入侵者可以利用webshell从而达到长期控制网站服务器的目的。若攻击者自行修复了漏洞,以确保没有其他人会利用该漏洞,攻击者可以低调的随时控制服务器。一些流行的webshell使用... 查看详情
oracle发布紧急java更新,修复关键漏洞
...e之所以如此迅速地做出回应,是因为该漏洞能轻易被利用,并且该漏洞的利用细节已经被公开。(Oracle十分明智,没有指出该利用代码的公开位置)该漏洞的利用被广泛用于渗透代码工具包只是时间问题,... 查看详情
最新windows0day漏洞利用
利用视屏:https://v.qq.com/iframe/player.html?vid=g0393qtgvj0&tiny=0&auto=0使用方法环境搭建注意,必须安装32位python2.6相关版本,其他版本不奏效。下载python2.6并安装下载pywin32并安装将C:Python26添加到环境变量PATH中。配置环境将EQGRP_Los... 查看详情