揭秘Elderwood工具包与劳工部黑客攻击事件

本文深入分析了针对美国劳工部的网络攻击事件,详细解析了Elderwood漏洞利用工具包的技术特点、攻击组件构成以及与传统攻击手法的差异,包括堆喷射技术、DEP绕过和指纹识别等高级攻击技术。

Elderwood与劳工部黑客攻击 - Trail of Bits博客

Dan Guido | 2013年5月13日
攻击, 漏洞利用

近期,美国劳工部(DoL)及其他多个网站遭到入侵,被用于托管Internet Explorer 8的新零日漏洞利用(CVE-2013-1347)。研究人员指出此次攻击与先前归因于Elderwood的攻击存在相似之处——Elderwood是一套独特的工具集,曾用于开发多起战略性网站入侵。然而,我们并未发现支持此结论的任何证据。存在若干根本性差异,使得最新漏洞利用不太可能由Elderwood工具包生成。

Elderwood工具包提供了多种可重用技术,包括使用Adobe Flash进行堆喷射以及通过其他插件绕过DEP(数据执行保护)。但DoL漏洞利用通过复制Exodus Intelligence的新漏洞利用技术代码,避免了对插件的需求。这显著提高了漏洞利用的可靠性及其影响的访问者数量。

Elderwood攻击活动通常直接将文件托管在受入侵的网站上。然而,劳工部网站被注入了重定向代码,将访问者引向攻击者控制的主机,随后尝试加载漏洞利用。这使得研究人员调查此事件更加困难。

Elderwood攻击活动使用从互联网示例代码中获取的原始主机指纹识别技术来确定访问者的可利用性。但DoL指纹代码由攻击者开发,用于收集更多数据,且不用于确定可利用性。此指纹信息被上传到攻击者控制的主机以供未来使用。

此外,我们已识别出互联网上可发现的示例代码作为出现在两个漏洞利用中的多个JavaScript函数的来源。例如,cookie跟踪代码几乎逐字复制自“使用cookie显示用户访问页面的次数”,其中包括最初来自《JavaScript应用 cookbook》的代码。

Elderwood漏洞利用工具包

Elderwood是一套独特的可重用工具集,由或为Aurora APT组(有时称为或与Nitro、VOHO、Violin Panda或Mandiant Group 8相关)开发。由于其所用于开发的战略性网站入侵和零日漏洞利用的独特性,我们公司跟踪了Elderwood工具包的使用。本周我们将通过一系列博客文章讨论对此专有漏洞利用工具包的分析。

  • Elderwood与劳工部黑客攻击
  • 使用Elderwood工具包编写漏洞利用(第一部分)
  • 使用Elderwood工具包编写漏洞利用(第二部分)

在后续博客文章中,我们使用归因于Elderwood工具包的最新零日战略性网站入侵作为案例研究。我们利用此次攻击的证据来确定工具包所提供工具的复杂程度,并确定操作它所需的能力。通过这样做,我们希望更诚实地讨论此威胁的现实情况以及当前防御措施的有效性。在案例研究结束时,我们预测此工具包未来的使用和发展,并提出建议以在未来保持对此类攻击的领先。

案例研究概述

2012年12月初,多个网站遭到入侵并被巧妙重新利用,以托管针对Internet Explorer 6、7和8中释放后使用漏洞的零日漏洞利用。这些网站的更改直到几周后才被检测到。攻击时间线如下:

  • 12月7日:外交关系委员会(CFR)首次被发现托管零日漏洞利用
  • 12月27日:Free Beacon发布此攻击活动的详细信息
  • 12月29日:Microsoft记录存在漏洞
  • 12月31日:Microsoft发布Fix It垫片
  • 1月2日:Peter Vreugdenhil分析并简化漏洞利用
  • 1月4日:Symantec将漏洞利用与Elderwood组关联
  • 1月14日:Microsoft发布MS13-008补丁

安全供应商将此类攻击称为“水坑攻击”,即公共网站被入侵以利用其访问者。我们认为ShadowServer提供了更描述性的定义,将其描述为“战略性网站入侵”。每个受入侵的网站都是根据访问其网络流量的特征战略性选择的。攻击者不是将受害者带到他们的网站,而是入侵目标受害者已经查看的网站。

攻击组件

攻击者必须设计和集成多个离散组件才能完成战略性网站入侵。我们在下面描述这些组件。

  • 漏洞:在客户端系统安装的软件(如Adobe Reader或Internet Explorer)中可重现的代码执行缺陷触发器。
  • 漏洞利用:利用漏洞在受害者计算机上执行攻击者选择的程序(有效载荷)的代码。
  • 混淆:应用于漏洞利用和有效载荷以逃避网络和基于主机的检测系统的技术。
  • 指纹识别:用于确定是否向受害者计算机提供漏洞利用的代码。
  • 有效载荷:在受害者计算机上运行的shellcode和恶意软件,以进一步控制它。
  • 受入侵网站:攻击者非法拥有或操作的网站,但攻击者已操纵其托管他们的漏洞利用和有效载荷代码。

攻击者在CFR网站上放置了几个文件。我们在下面列举这些文件及其在入侵过程中的角色。这些文件名的变体在多个受入侵网站上使用,但它们通常对应于以下列表。

  • config.html:对目标受害者进行指纹识别,并确定它们是否是所开发漏洞利用代码的支持目标。
  • news.html、robots.txt和today.swf:包含已发现的零日漏洞的漏洞利用代码。robots.txt混淆了漏洞利用代码的关键部分以降低检测风险。
  • xsainfo.jpg:包含要在成功利用的受害者上安装的恶意软件的一个阶段。

我们已发布攻击中的原始文件供读者参考(密码:infected)。在明天的文章中,我们将调查Elderwood工具包提供的用于从发现的漏洞开发漏洞利用的工具。

如果您有兴趣了解更多关于现代攻击如何开发和执行的信息,请考虑参加下月初的SummerCon并参加我们的培训之一。订阅我们的新闻通讯以及时了解我们的培训、产品和博客文章。

如果您喜欢这篇文章,请分享: Twitter LinkedIn GitHub Mastodon Hacker News

页面内容
最新文章

  • 使用Deptective调查您的依赖项
  • 系好安全带,Buttercup,AIxCC的评分回合正在进行中!
  • 使您的智能合约超越私钥风险成熟
  • Go解析器中意外的安全隐患
  • 我们审查首批DKLs学到的内容
  • Silence Laboratories的23个库

© 2025 Trail of Bits.
使用Hugo和Mainroad主题生成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次