Elderwood与劳工部黑客攻击事件
Trail of Bits博客 · 2013年5月13日
事件概述
近期美国劳工部(DoL)等多个网站被入侵,用于托管Internet Explorer 8的新零日漏洞(CVE-2013-1347)利用程序。研究人员指出此次攻击与先前归因于Elderwood的攻击存在相似性——Elderwood是一套独特的工具集,曾用于开发多起战略性网站入侵。但我们并未发现支持该结论的证据,存在多项根本性差异表明最新漏洞利用程序并非由Elderwood工具包开发。
技术差异分析
1. 漏洞利用技术
Elderwood工具包通过Adobe Flash进行堆喷射并利用其他插件绕过DEP(数据执行保护)。而DoL漏洞利用程序通过复制Exodus Intelligence的新技术代码,完全避免使用插件,显著提升了攻击可靠性和影响范围。
2. 载荷投递方式
Elderwood活动直接将文件托管在受入侵网站,但DoL网站被注入重定向代码,将访问者引向攻击者控制的主机再加载漏洞利用程序,增加了研究人员调查难度。
3. 指纹识别技术
Elderwood使用来自网络示例代码的原始主机指纹技术判断可利用性,而DoL指纹代码由攻击者自主开发,能收集更丰富数据且不用于判断可利用性,这些指纹信息会上传至攻击者主机供后续使用。
代码溯源发现
我们在两个漏洞利用程序中均发现来自网络公开示例代码的JavaScript函数:
- Cookie跟踪代码几乎逐字复制自《使用Cookie显示用户访问次数》一文
- 部分代码源自《JavaScript应用 cookbook》
Elderwood漏洞工具包背景
Elderwood是由/为Aurora APT组织(又称Nitro/VOHO/Violin Panda/Mandiant Group 8)开发的可重用工具集。我们持续跟踪该工具包的使用,因其开发的战略性网站入侵和零日漏洞利用具有独特性。本周将通过系列博文深入分析该专有漏洞工具包。
案例研究:2012年12月攻击时间线
- 12月7日:外交关系委员会(CFR)网站首次被观测托管IE 6/7/8 Use-After-Free漏洞0day利用程序
- 12月27日:Free Beacon发布攻击活动细节
- 12月29日:微软确认漏洞存在
- 12月31日:发布临时修复程序Fix It
- 1月2日:Peter Vreugdenhil分析并简化漏洞利用程序
- 1月4日:赛门铁克将攻击关联至Elderwood组织
- 1月14日:微软发布MS13-008补丁
攻击组件技术解析
核心构成要素:
- 漏洞(Vulnerability):客户端软件中可复现的代码执行缺陷触发器
- 利用程序(Exploit):通过漏洞在受害者计算机执行攻击者指定程序
- 混淆技术(Obfuscation):规避网络和主机检测系统的技术
- 指纹识别(Fingerprinting):判断是否向受害者投递利用程序
- 有效载荷(Payload):在受害者计算机运行的Shellcode和恶意软件
- 受入侵网站:被攻击者操纵用于托管利用程序和载荷的第三方网站
CFR网站攻击文件分析:
config.html:执行目标受害者指纹识别news.html,robots.txt,today.swf:包含零日漏洞利用代码(其中robots.txt对关键代码段进行混淆)xsainfo.jpg:包含成功利用后安装的恶意软件阶段载荷
(原始攻击文件已发布供研究人员参考,密码:infected)
明日博文将深入分析Elderwood工具包中用于从已发现漏洞开发利用程序的工具技术