欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

分析最新的firefox 0day攻击

来源:本站整理 作者:佚名 时间:2015-08-13 TAG: 我要投稿

 /Article/UploadPic/2015-8/2015813114114594.jpg

        Mozilla基金会于8月6日为Firefox浏览器发布了一个安全更新,来修复Firefox嵌入式PDF阅读器的pdf.js中的cve-2015-4495漏洞。该漏洞允许攻击者绕过同源策略,在本地文件上下文中远程执行JavaScript代码。 随后,攻击者便能够获得本地文件的读写权限,从而将其上传到远程服务器乐。当前,针对这个漏洞的利用非常猖狂,所以建议火狐用户立即更新到最新版本(截至目前最新版本为39.0.3)。

在本文中,我们将对涉及Windows、Linux 及OS X系统的共同攻击细节展开详细介绍,并对两个不同版本的攻击脚本进行深入剖析。

根据ESET的LiveGrid ® 的判断,截至2015年7月27日,恶意脚本仍然托管于IP地址为185.86.77.48的服务器上面。此外,我们也从被入侵的一个论坛上得到了相应的佐证:

/Article/UploadPic/2015-8/2015813114114853.png

注入该页面的恶意脚本引起了论坛用户的关注

乌克兰内政部网络犯罪打击部门的特工对我们的通知给予了迅速回应,并确认截至2015年7月27日为止,托管在乌克兰境内的恶意脚本的服务器仍然在线运行。

根据我们的威胁监测情况来看,这个服务器已经于2015年8月8日下线。

恶意脚本

这次发现的恶意脚本没有经过混淆处理,所以相对来说比较容易分析。然而,通过分析发现,攻击者对于Firefox浏览器的内部细节非常熟悉。

恶意脚本通过空的PDF blob生成了一个IFRAME,当Firefox将要利用内部PDF阅读器PDF.js打开这个PDF blob的时候,就会有新的代码被注入到之前生成的IFRAME中,具体如图2所示。 当这段代码执行时,会在wrappedJSObject中创建一个新的sandboxContext属性。此外,还将一个JavaScript函数写入到了这个sandboxContext属性中。 后面的代码将会调用这个函数。同时,利用这些步骤就能过成功地绕过同源策略。

/Article/UploadPic/2015-8/2015813114114767.png

创建sandboxContext属性的代码

这个漏洞利用代码不仅写得非常稳妥,而且运行起来也非常流畅。 但是,它仍然会显示一条警告信息,如果是技术比较在行的用户,可能就会注意到这一点。

/Article/UploadPic/2015-8/2015813114114503.png

被入侵网站上显示的警告信息

在成功利用这个安全漏洞之后,控制权将会传递给代码的漏洞利用部分。这个脚本能够同时支持Linux及Windows操作系统。 在Windows系统上面,它会搜索流行的FTP客户端(比如FileZilla、SmartFTP等等)、SVN客户端、即时通信客户端和Amazon S3 客户端的配置文件。

/Article/UploadPic/2015-8/2015813114114336.png

第一版恶意脚本在Windows系统上的文件收集列表

这些配置文件中很可能会包含有登录名和口令。

在Linux系统上面,这个攻击脚本将会向远程服务器发送下列文件:

    /etc/passwd

    /etc/hosts

    /etc/hostname

    /etc/issue

除此之外,这个脚本还会分析/etc/passwd文件以便取得系统用户的主目录homedir。之后,这个脚本便会在上面搜集到的主目录之外搜索文件,从而避免在标准系统用户的主目录(比如daemon、bin、sys、sync,等等)中进行查找。

/Article/UploadPic/2015-8/2015813114114120.png

第一版恶意脚本在Linux系统上的文件收集列表

这个脚本将收集和上传下面类型的文件:

    历史记录(bash、MySQL、PostgreSQL)

    SSH的相关配置文件和授权密钥

    用于远程访问软件Remmina的配置文件

    FileZilla的配置文件

    PSI+相关配置

    可能是证书和shell脚本的文本文件

显而易见,该恶意脚本的第一个版本的目的是收集网站管理员最常用的数据,以便于攻击者进一步继续入侵更多的网站。

恶意软件的第二种版本

就在Mozilla为Firefox浏览器发新补丁之后的第二天,攻击者就开始全面跟进:他们注册了两个新的域名,并对他们的攻击脚本进行了相应的改进。

这两个新的域名分别是maxcdnn[.]com (93.115.38.136)和acintcdn[.]net (185.86.77.48)。其中,第二个ip地址与这个恶意软件的第一版本中的完全一致。攻击者之所以选择这两个域名,可能是觉得这两个域名看起来非常像是属于内容交付网络(CDN)的缘故。用于Windows操作系统的改进脚本,不仅会收集应用程序的配置文件,而且还会收集所有其中含有可能对攻击者有用的词汇(比如口令、帐户、比特币、信用卡、漏洞、证书,等等)组合的文本文件:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载