谷歌Project Zero研究人員發(fā)現神秘黑客組織在2020的攻擊活動中使用了11個0 day漏洞，其中攻擊目标包括安卓、iOS 和Windows 用戶。

概述

2020年10月，谷歌Project Zero研究人員發(fā)現有7個0 day漏洞的在野利用。這(zhè)些漏洞利用通過(guò)水坑攻擊來進(jìn)行傳播，其中有2個漏洞利用服務器保存了安卓、Windows和iOS 設備的漏洞利用鏈。這(zhè)些攻擊活動似乎是2020年2月發(fā)現的攻擊活動的下一輪更新。

研究人員首先發(fā)現了到第二個漏洞利用服務器的鏈接。在根據IP 地址和用戶代理進(jìn)行初始指紋分析後(hòu)，有iframe 被注入到了指向(xiàng)2個漏洞利用服務器之一的網站。

研究人員在測試過(guò)程中發(fā)現，這(zhè)兩(liǎng)個漏洞利用服務器存在于所有發(fā)現的域名中。其中：

漏洞利用服務器1:

最開(kāi)始隻響應iOS和Windows 用戶代理；

研究人員在從服務器下載漏洞利用時服務器仍然活躍；

在CVE-2020-15999 漏洞被修複後(hòu)，用新的v8 0 day漏洞(CVE-2020-16009)來替換；

在漏洞利用服務器2下線後(hòu)也響應安卓用戶代理。

漏洞利用服務器2:

響應安卓用戶代理；

研究人員在從服務器下載漏洞利用後(hòu)服務器仍然活躍了約36小時；

與漏洞利用服務器1相比，該服務器響應的IP 地址範圍更小。

上圖表明連接到受感染的網站的設備的流程。設備會被重定向(xiàng)到漏洞利用服務器1或漏洞利用服務器2。然後(hòu)根據設備和浏覽器傳播以下漏洞利用：

針對(duì)所有的平台都(dōu)使用了混淆和反分析檢查，但是每個平台的混淆都(dōu)是不同的。比如，iOS 是唯一使用臨時密鑰（ephemeral key）加密的，也就是說漏洞利用無法在抓包的情況下恢複，而是需要中間人才能(néng)實現漏洞利用的重寫。

這(zhè)些漏洞利用使得研究人員相信漏洞服務器1和漏洞服務器2背後(hòu)的實體是不同的，但是互相處于一種(zhǒng)協作模式。兩(liǎng)個漏洞利用服務器都(dōu)使用了Chrome Freetype RCE (CVE-2020-15999)漏洞，但是漏洞利用的代碼卻是不同的。因此，研究人員相信這(zhè)是兩(liǎng)個不同的運營者。

攻擊者利用的7個0 day漏洞如下：

·CVE-2020-15999 - Chrome Freetype堆緩存溢出漏洞；

·CVE-2020-17087 - Windows cng.sys中的堆緩存溢出漏洞；

·CVE-2020-16009 - TurboFan map deprecation中的Chrome type confusion

·CVE-2020-16010 – Chrome安卓版堆緩存溢出漏洞

·CVE-2020-27930 - Safari 任意棧讀寫漏洞

·CVE-2020-27950 - iOS XNU kernel 内存洩露漏洞

·CVE-2020-27932 - iOS kernel type confusion with turnstiles

總結

Project Zero 研究人員發(fā)現，攻擊者在2020年的攻擊活動中使用了多個0 day漏洞利用鏈和7個0 day漏洞利用。與2020年早期的攻擊活動中，攻擊者在1年裡(lǐ)使用了至少11個0 day漏洞利用。

——END——

　　更多網站設計、網頁設計等相關内容，歡迎您咨詢中山網訊科技！
　　
責任編輯：中山網站建設
     【網訊網絡】國(guó)家高新技術企業》十二年專注軟件開(kāi)發(fā)，網站建設，網頁設計，APP開(kāi)發(fā)，小程序，微信公衆号開(kāi)發(fā)，定制各類企業管理軟件（OA、CRM、ERP、OMS訂單管理系統、WMS進(jìn)銷存管理軟件等)！服務熱線：0760-88610046、13924923903，http://www.wansion.net