揭秘Elderwood漏洞利用套件与劳工部黑客攻击事件

本文深入分析了针对美国劳工部的网络攻击事件,详细解析了Elderwood漏洞利用套件的技术特点、攻击组件构成,包括漏洞利用、指纹识别、载荷传递等技术细节,并对比了与传统攻击手法的差异。

Elderwood与劳工部黑客攻击 - Trail of Bits博客

Dan Guido | 2013年5月13日
攻击类型:漏洞利用

近期,美国劳工部(DoL)及其他多个网站遭到入侵,被用于托管Internet Explorer 8的新零日漏洞利用(CVE-2013-1347)。研究人员指出此次攻击与先前归因于Elderwood的攻击存在相似之处——Elderwood是一套独特的工具集,曾用于开发多起战略性网站入侵。然而,我们并未发现支持此结论的证据。存在若干根本性差异,使得最新漏洞利用不太可能由Elderwood工具包生成。

Elderwood工具包提供了多种可重用技术,包括通过Adobe Flash进行堆喷射(heap spraying)以及利用其他插件绕过DEP(数据执行保护)。但DoL漏洞利用通过复制Exodus Intelligence的新漏洞利用技术代码,避免了对插件的依赖。这显著提高了漏洞利用的可靠性及受影响访客数量。

Elderwood攻击活动通常将文件直接托管在受入侵网站上。然而,DoL网站被注入了重定向代码,将访客引导至攻击者控制的主机,随后尝试加载漏洞利用。这增加了研究人员调查此事件的难度。

Elderwood攻击活动使用源自互联网示例代码的原始主机指纹识别技术来确定访客的可利用性。而DoL指纹代码由攻击者开发,用于收集更多数据且不用于判断可利用性。这些指纹信息被上传至攻击者控制的主机以备将来使用。

此外,我们发现互联网上可获取的示例代码是出现在两个漏洞利用中的多个JavaScript函数的来源。例如,Cookie跟踪代码几乎逐字复制自"使用Cookie显示用户访问页面次数",其中包含最初来自《JavaScript应用 cookbook》的代码。

Elderwood漏洞利用套件

Elderwood是由或为Aurora APT组织(有时称为或关联于Nitro、VOHO、Violin Panda或Mandiant Group 8)开发的一套独特可重用工具。由于其所用于开发的战略性网站入侵和零日漏洞利用的独特性,我们公司一直跟踪Elderwood工具包的使用情况。本周我们将通过一系列博客文章讨论对此专有漏洞利用套件的分析。

相关文章:

  • 使用Elderwood工具包编写漏洞利用(第一部分)
  • 使用Elderwood工具包编写漏洞利用(第二部分)

在后续博客文章中,我们将以最新归因于Elderwood工具包的零日战略性网站入侵作为案例研究。我们利用此次攻击的证据来确定工具包所提供工具的复杂程度,并确定操作所需的能力。通过这样做,我们希望更诚实地讨论此威胁的现实情况以及当前防御措施的有效性。在案例研究结束时,我们预测此工具包的未来使用和发展,并提出建议以在未来保持对此类攻击的领先。

案例研究概述

2012年12月初,多个网站遭到入侵并被巧妙重新利用,托管针对Internet Explorer 6、7和8中释放后使用(use-after-free)漏洞的零日漏洞利用。这些网站的更改直到几周后才被检测到。攻击时间线如下:

  • 12月7日:外交关系委员会(CFR)首次被发现托管零日漏洞利用
  • 12月27日:Free Beacon发布此攻击活动的详细信息
  • 12月29日:微软记录存在漏洞
  • 12月31日:微软发布Fix It修补程序
  • 1月2日:Peter Vreugdenhil分析并简化漏洞利用
  • 1月4日:Symantec将漏洞利用与Elderwood组织关联
  • 1月14日:微软发布MS13-008补丁

安全供应商将此类攻击称为"水坑攻击"(watering holes),即入侵公共网站以利用其访客。我们认为ShadowServer提供了更具描述性的定义,将其描述为"战略性网站入侵"。每个受入侵网站都是根据访问其网络流量的特征战略性选择的。攻击者不是将受害者带到自己的网站,而是入侵目标受害者已经访问的网站。

攻击组件

攻击者必须设计和集成多个离散组件才能完成战略性网站入侵。我们在下面描述这些组件。

漏洞:在客户端系统安装的软件(如Adobe Reader或Internet Explorer)中可重复触发的代码执行缺陷。

漏洞利用:利用漏洞在受害者计算机上执行攻击者选择的程序(载荷)的代码。

混淆:应用于漏洞利用和载荷的技术,以规避网络和基于主机的检测系统。

指纹识别:用于确定是否向受害者计算机提供漏洞利用的代码。

载荷:在受害者计算机上运行的shellcode和恶意软件,以进一步控制它。

受入侵网站:非攻击者合法拥有或操作的网站,但攻击者已操纵其托管漏洞利用和载荷代码。

攻击者在CFR网站上放置了多个文件。我们在下面列举这些文件及其在入侵过程中的作用。这些文件名在多个受入侵网站上有变体,但通常对应于以下列表。

  • config.html:对目标受害者进行指纹识别,确定它们是否是所开发漏洞利用代码的支持目标。
  • news.html、robots.txt和today.swf:包含已发现的零日漏洞的漏洞利用代码。robots.txt混淆了漏洞利用代码的关键部分以降低检测风险。
  • xsainfo.jpg:包含将在成功利用的受害者上安装的恶意软件的一个阶段。

我们已发布攻击中的原始文件供读者参考(密码:infected)。在明天的文章中,我们将研究Elderwood工具包提供的用于从发现的漏洞开发漏洞利用的工具。

如果您有兴趣了解更多关于现代攻击如何开发和执行的信息,请考虑参加下月初的SummerCon并参加我们的培训之一。订阅我们的新闻通讯以及时了解我们的培训、产品和博客文章。

如果您喜欢这篇文章,请分享: Twitter | LinkedIn | GitHub | Mastodon | Hacker News

页面内容
The Elderwood Exploit Kit | 案例研究概述 | 攻击组件 | 最新文章

最新文章

  • Trail of Bits的Buttercup在AIxCC挑战赛中获得第二名
  • Buttercup现已开源!
  • AIxCC决赛:数据对比
  • 攻击者的提示注入工程:利用GitHub Copilot
  • 作为新员工发现NVIDIA Triton中的内存损坏

© 2025 Trail of Bits.
使用Hugo和Mainroad主题生成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次