揭秘Elderwood漏洞工具包与劳工部黑客攻击事件

本文深入分析了针对美国劳工部的网络攻击事件,详细解析了Elderwood漏洞工具包的技术特点、攻击组件构成,包括漏洞利用、指纹识别、载荷投递等关键技术实现方式,并提供了具体攻击时间线和防御建议。

Elderwood与劳工部黑客攻击 - Trail of Bits博客

Dan Guido | 2013年5月13日
攻击类型:漏洞利用

近期,美国劳工部(DoL)及其他多个网站遭到入侵,被用于托管Internet Explorer 8的新零日漏洞利用(CVE-2013-1347)。研究人员指出此次攻击与之前归因于Elderwood的攻击存在相似性——Elderwood是一套独特的工具集,曾用于开发多起战略性网站入侵。然而,我们并未找到支持这一结论的证据。存在若干根本性差异,使得最新漏洞利用不太可能由Elderwood工具包开发。

Elderwood工具包提供了多种可重用技术,包括通过Adobe Flash进行堆喷射以及利用其他插件绕过DEP(数据执行保护)。但DoL漏洞利用通过复制Exodus Intelligence的新漏洞利用技术代码,避免了对插件的依赖。这显著提高了漏洞利用的可靠性及其影响的访客数量。

Elderwood攻击活动通常直接将文件托管在受入侵的网站上。然而,DoL网站被注入了重定向代码,将访客引导至攻击者控制的主机,然后尝试加载漏洞利用。这使得研究人员调查此事件更加困难。

Elderwood攻击活动使用从互联网示例代码中获取的原始主机指纹识别技术来确定访客的可利用性。而DoL指纹代码由攻击者开发,用于收集更多数据,且不用于确定可利用性。这些指纹信息被上传到攻击者控制的主机以备将来使用。

此外,我们还发现互联网上可找到的示例代码是出现在两个漏洞利用中的多个JavaScript函数的来源。例如,Cookie跟踪代码几乎逐字复制自"使用Cookie显示用户访问页面的次数",其中包括最初来自《JavaScript应用 cookbook》的代码。

Elderwood漏洞利用工具包

Elderwood是由或为Aurora APT组织(有时称为或与Nitro、VOHO、Violin Panda或Mandiant Group 8相关)开发的一套独特可重用工具。由于其所开发的战略性网站入侵和零日漏洞利用的独特性,我们公司一直跟踪Elderwood工具包的使用情况。我们将在本周的一系列博客文章中讨论对这一专有漏洞利用工具包的分析。

相关文章:

  • 使用Elderwood工具包编写漏洞利用(第1部分)
  • 使用Elderwood工具包编写漏洞利用(第2部分)

在后续的博客文章中,我们将以归因于Elderwood工具包的最新零日战略性网站入侵作为案例研究。我们使用此次攻击的证据来确定工具包提供工具的复杂程度,并确定操作它所需的能力。通过这样做,我们希望更诚实地讨论这一威胁的现实情况以及当前防御措施的有效性。在案例研究结束时,我们预测该工具包的未来使用和发展,并提出建议以在未来保持领先于此类攻击。

案例研究概述

2012年12月初,多个网站遭到入侵并被巧妙地重新利用,托管针对Internet Explorer 6、7和8中释放后使用漏洞的0日漏洞利用。这些网站的更改直到几周后才被发现。攻击时间线如下:

  • 12月7日:外交关系委员会(CFR)首次被发现托管0日漏洞利用
  • 12月27日:Free Beacon发布此次攻击活动的详细信息
  • 12月29日:微软记录存在漏洞
  • 12月31日:微软发布Fix It垫片
  • 1月2日:Peter Vreugdenhil分析并简化了漏洞利用
  • 1月4日:Symantec将漏洞利用与Elderwood组织联系起来
  • 1月14日:微软发布MS13-008补丁

安全供应商将这种入侵公共网站以利用其访客的攻击类型称为"水坑攻击"。我们认为ShadowServer提供了更具描述性的定义,将此类性质的攻击描述为"战略性网站入侵"。每个受入侵的网站都是根据访问其网络流量的特征战略性选择的。攻击者不是将受害者带到他们的网站,而是入侵目标受害者已经访问的网站。

攻击组件

攻击者必须设计和集成几个离散组件才能完成战略性网站入侵。我们在下面描述这些组件。

漏洞:在客户端系统安装的软件(如Adobe Reader或Internet Explorer)中可重复触发的代码执行缺陷。

漏洞利用:利用漏洞在受害者计算机上执行攻击者选择的程序(有效载荷)的代码。

混淆:应用于漏洞利用和有效载荷的技术,以逃避网络和基于主机的检测系统。

指纹识别:用于确定是否向受害者计算机提供漏洞利用的代码。

有效载荷:在受害者计算机上运行的Shellcode和恶意软件,以进一步控制它。

受入侵网站:攻击者非法拥有或操作的网站,但攻击者已操纵其托管他们的漏洞利用和有效载荷代码。

攻击者在CFR网站上放置了几个文件。我们在下面列举这些文件及其在入侵过程中的作用。这些文件名的变体在多个受入侵的网站上使用,但它们通常对应于以下列表。

  • config.html:对目标受害者进行指纹识别,并确定它们是否是所开发漏洞利用代码的支持目标。
  • news.html、robots.txt和today.swf:包含已发现的零日漏洞的漏洞利用代码。robots.txt混淆了漏洞利用代码的关键部分以降低检测风险。
  • xsainfo.jpg:包含要在成功利用的受害者上安装的恶意软件的一个阶段。

我们已发布攻击中的原始文件供读者参考(密码:infected)。在明天的文章中,我们将调查Elderwood工具包提供的用于从发现的漏洞开发漏洞利用的工具。

如果您有兴趣了解更多关于现代攻击如何开发和执行的信息,请考虑参加下月初的SummerCon并参加我们的培训之一。订阅我们的新闻通讯以了解我们的培训、产品和博客文章的最新信息。

如果您喜欢这篇文章,请分享: Twitter | LinkedIn | GitHub | Mastodon | Hacker News

最近文章

  • 构建安全消息传递很难:对Bitchat安全辩论的细致看法
  • 使用Deptective调查您的依赖项
  • 系好安全带,Buttercup,AIxCC的评分回合正在进行中!
  • 使您的智能合约超越私钥风险
  • Go解析器中意外的安全隐患

© 2025 Trail of Bits. 使用Hugo和Mainroad主题生成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次