利用重组 VirtualBox 漏洞发现的 AcidBox 恶意软件
在2017年针对两个不同俄罗斯组织的网络攻击中,一个未知的威胁行为体使用了一个“非常罕见”的恶意软件。
研究人员发现了名为AcidBox的高级恶意软件,他们说,早在2017年,一个神秘的网络团伙就曾两次使用它对付俄罗斯组织。在周三发布的一份报告中,Palo Alto Networks的第42分队揭露了针对使用AcidBox恶意软件的流行开源虚拟化软件VirtualBox的攻击。
第42分队对VirtualBox攻击的死后调查始于2008年,当时核心安全部门的研究人员在WindowsVista安全机制中发现了一个名为驱动程序签名强制(DSE)的错误。该漏洞允许攻击者禁用DSE并将恶意软件安装到Oracle VirtualBox软件的目标实例上。影响VirtualBox驱动程序的错误(CVE-2008-3431)VBoxDrv.sys系统已在版本1.6.4中修补。
快速前进到2014年,臭名昭著的Turla集团开发了第一个恶意软件,滥用第三方设备驱动程序禁用DSE,武器化核心安全的研究。Turla集团的攻击还集中在VirtualBox驱动程序上。尽管Oracle在2008年发布了补丁,Turla的运营商还是成功地解决了如何使用其恶意软件禁用DSE的问题。这是因为,根据第42分队,尽管修复了错误(CVE-2008-3431),但在2008年间,只有两个漏洞中的一个被修复。
“Turla使用的漏洞中实际上滥用了两个漏洞,其中只有一个(用CVE-2008-3431)被修复过,”42号分队在周三发布的报告中写道。研究人员说,Turla集团的恶意软件还针对了第二个DSE漏洞(VBoxDrv.sys系统v1.6.2),这个漏洞与后来使用被认定为AcidBox恶意软件的VirtualBox驱动程序相关。
快进到2019年,就在那时,42号机组说它第一次发现了一个已经上传到VirusTotal的AcidBox样本。研究人员随后追踪到AcidBox恶意软件是针对VirtualBox驱动程序的新攻击VBoxDrv.sys系统v1.6.2,以及v3.0.0之前的所有其他版本。
“由于恶意软件的复杂性、稀有性以及它是更大工具集的一部分这一事实,我们相信它曾被高级威胁行为体用于目标攻击,如果攻击者仍处于活动状态,很可能今天仍在使用此恶意软件,”Palo Alto 网络公司42小组的研究人员Dominik Reichel和Esmid Idrizovic写道。
尽管Turla集团和网络黑帮在最近的VirtualBox攻击背后有相似之处,但研究人员说,这两个威胁集团没有联系。
VirtualBox攻击
Turla使用的漏洞滥用了两个漏洞。2008年修复的第一个缺陷(CVE-2008-3431)存在于VBoxDrv.sys系统. 此函数无法正确验证与Irp对象关联的缓冲区,从而允许本地用户通过打开\.\VBoxDrv设备并调用DeviceIoControl发送精心编制的内核地址来获得权限。
然而,第二个漏洞仍然没有修补,并用于Trula的新版本的攻击,研究人员认为,这是在2014引入的威胁集团的内核模式恶意软件。正是这一漏洞,在2017年针对两家俄罗斯公司的攻击中,AcidBox背后的一个尚不为人所知的威胁因素发挥了杠杆作用。
“[AcidBox]使用已知的VirtualBox漏洞来禁用Windows中的驱动程序签名强制,但有一个新的变化:尽管众所周知,VirtualBox驱动程序VBoxDrv.sys系统“v1.6.2是易受攻击的,由Turla使用,这个新的恶意软件使用相同的漏洞,但有一个稍新的VirtualBox版本,”研究人员说。
恶意软件
AcidBox恶意软件本身是一个复杂的模块化工具包。研究人员只能使用这个工具包的一小部分。他们发现了四个64位用户模式dll和一个未签名的kernelmode驱动程序。三个(四个用户模式示例中的一个(msv1_0.dll,pku2u.dll,wdigest.dll)具有相同的功能,是主要工作模块的加载程序,研究人员说。
研究人员还指出,攻击者正在使用自己的DEF文件(而不是将export指令添加到对象文件中,这样用户就不需要使用DEF文件)来指示何时导入或导出其dll。DEF文件(或模块定义文件)是包含一个或多个描述DLL各种属性的模块语句的文本文件。使用DEF文件时,攻击者可以选择其导出函数的序号。
“这在declspec(dllexport)中是不可能的,因为Visual Studio编译器总是从一个开始计算函数,”研究人员说。“使用DEF文件而不是declspec(dllexport)有一些优点。您可以按序号导出函数,还可以重定向函数等。缺点是您必须在项目中维护一个附加文件。”
研究人员说,向前看,AcidBox是一种“非常罕见”的恶意软件,可能用于高目标攻击。
“虽然AcidBox没有使用任何全新的方法,但它打破了只有VirtualBox VBoxDrv.sys系统1.6.2用于Trula开发的神话,”他们说。在图标资源中附加敏感数据作为覆盖,在Windows注册表中滥用SSP接口进行持久性和注入以及有效负载存储,都将它们归入感兴趣的恶意软件类别中。
