ब्लैकहोल + सीवीई -2012-0507 = कार्बप

इस हफ्ते, ब्लैकहोल कारनामों का प्रसिद्ध सेट 1.2.3 संस्करण में अपडेट किया गया था और इसमें CVE-2012-0507 भेद्यता ( Java / Exploit.CVE-2012-0507 ) के लिए एक नया जावा शोषण शामिल था। इस भेद्यता की प्रासंगिकता पर जनता का ध्यान आकर्षित करने वाला पहला Microsoft था, जिसने जावा रनटाइम एन्वायरमेंट JRE सैंडबॉक्स के बाहर जावा कोड को निष्पादित करने के लिए एक दिलचस्प तरीके से एक ब्लॉग पोस्ट किया था।

इस भेद्यता के लिए एक कारनामे का पहला उल्लेख इम्युनिटी से आया, जिसने अपने इम्यूनिटी कैनवस उत्पाद के लिए मार्च 7.03.2012 की शुरुआत में एक विशेष मॉड्यूल जारी किया । यह भेद्यता 15 फरवरी को ओरेकल के एक महत्वपूर्ण अद्यतन के भाग के रूप में बंद कर दी गई थी। इस प्रकाशन की तैयारी के समय, देर रात, मेटासप्लोइट फ्रेमवर्क के भाग के रूप में CVE-2012-0507 के लिए एक सार्वजनिक कारनामे सामने आए। अलग-अलग, यह इसके क्रॉस-प्लेटफॉर्म और विंडोज, लिनक्स, सोलारिस और ओएसएक्स सिस्टम (एप्पल का सुरक्षा अपडेट कल दिखाई दिया) को संचालित करने की क्षमता पर ध्यान देने योग्य है। उत्तरार्द्ध विशेष रूप से इसके लिए दुर्भावनापूर्ण कार्यक्रमों की संख्या में वृद्धि के प्रकाश में दिलचस्प है, जावा कमजोरियों के शोषण के माध्यम से फैल रहा है। Metasploit फ्रेमवर्क से शोषण अपडेटेड ब्लैकहोल में पाए जाने वाले समान के समान दिखता है और ऐसा लगता है कि यह वहाँ से अधिकांश भाग के लिए फट गया था ...

हाल ही में, मैंने अक्सर जावा के लिए कारनामों के बारे में लिखा था, और पिछले वर्ष में वे मैलवेयर के बड़े पैमाने पर वितरण की घटनाओं में वास्तव में सबसे छिद्रपूर्ण हैं। शोषण किट के डेवलपर्स, जैसे कि ब्लैकहोल, केवल तथाकथित 1-दिन की कमजोरियों का उपयोग करते हैं, अर्थात। पहले से ही डेवलपर्स से एक आधिकारिक तय है। क्योंकि 0-दिन का उपयोग उनके उद्देश्यों के लिए बहुत महंगा है और खुद के लिए बिल्कुल भी भुगतान नहीं करता है, लेकिन अपवाद हैं जब 0-दिन पीओसी के साथ सार्वजनिक रूप से आते हैं। इस समय एक शून्य-दिन की भेद्यता का उपयोग अक्सर लक्षित हमलों में देखा जा सकता है। वैसे, 0-दिन और रिसीवर के कर्म के लिए कीमतों पर एक बल्कि मनोरंजक पोस्ट यहां पढ़ी जा सकती है ।

अपने कारनामे पर वापस, इस हफ्ते हमने फिर से लोकप्रिय वेब संसाधनों के माध्यम से Win32 / TrojanDownloader.Carberp के प्रसार को देखा, iFrame निर्माण की शुरूआत के माध्यम से एक संसाधन के साथ पुनर्निर्देशित किया।

पहला संसाधन जो हमें मिला, वह था जीवनकाल, जिसमें निम्नलिखित आईफ्रेम शामिल थे:



जैसा कि आप एम्बेडेड कोड से देख सकते हैं, हमला तुरंत CVE-2012-0507 नाम से हुआ और डोमेन नाम जिस पर ब्लैकहोल स्थित था, हमला किए गए वेब संसाधन के नाम के समान है। IFrame में कोड निष्पादन का परिणाम एक संशोधित मूल पृष्ठ पर भी देखा जा सकता है।





उसके बाद, पुराना, लेकिन निर्दयी, प्रतीक्षा पृष्ठ प्रदर्शित किया जाता है, और यह इस समय है कि ऑपरेशन का सक्रिय चरण होता है।



इसी तरह का हमला वेब संसाधन izvestia.ru पर देखा गया था और Win32 / TrojanDownloader.Carberp परिवार से एक संशोधन भी स्थापित किया गया था। सामान्य तौर पर, पहले Java / Exploit.CVE-2012-0507 शोषण हिरासत मध्य मार्च के करीब देखे गए थे।

पूर्ण घटना लॉग जब आप livenews.ru वेब संसाधन के संशोधित पृष्ठ पर जाते हैं तो यह दिखता है:



दोनों स्थितियों में, फ़ॉर्म के URL पर जाने पर संक्रमण हुआ:

hxxp: //izvestia.ru/banners/index.php? p = 55

hxxp: //lifenews.ru/banners/index.php? p = 2

जो दोनों संसाधनों पर उपयोग किए जाने वाले बैनर नेटवर्क के माध्यम से एक संक्रमण का सुझाव देता है। जिस पते पर पुनर्निर्देशन हुआ, वह भी दोनों मामलों में समान था।

वैसे, पाठक के पास एक वैध सवाल हो सकता है, लेकिन साइबर अपराधियों के एक समूह को हिरासत में रखने के बारे में हालिया प्रेस चर्चा के बारे में जो Win32 / TrojanDownloader.Carberp को वितरित करते हैं और दूरदराज के बैंकिंग सिस्टम में धोखाधड़ी पर पैसा बनाते हैं। ठीक है, आठ लोगों को हिरासत में लिया गया था, जो आपराधिक नेटवर्क के विभिन्न भाग थे और केवल एक समूह का प्रतिनिधित्व करते थे जो कार्बरप के साथ काम करते थे। लेकिन आखिरकार, अन्य अभी भी स्वतंत्र थे, और स्वाभाविक रूप से एक चमत्कार नहीं हुआ और उन्होंने अपनी गतिविधियों को वापस नहीं किया।

लेकिन चलो CVE-2012-0507 कारनामे पर लौटते हैं, यह इस हमले से सबसे अधिक रुचि है (कारबर्प पहले से हमारे लिए जाना जाता था और केवल बायपास डिटेक्शन के लिए पुनर्प्राप्त किया गया था)। भेद्यता AtomicReferenceArray वर्ग के कार्यान्वयन में छिपी हुई है, जिसमें वस्तु [] प्रकार से संबंधित एक गलत जाँच होती है। यह भेद्यता तथाकथित "टाइप कन्फ्यूजन वल्नरेबिलिटीज" वर्ग से संबंधित है। पहले, इस तरह की कमजोरियां बायटेकोड वेरिफायर स्तर पर सामने आती थीं, लेकिन अब वे पहले से ही बंद हैं और टक्कर सीधे जावा एपीआई में स्थित है। यह सब आपको JRE सैंडबॉक्स के बाहर एक विशेष रूप से तैयार एप्लेट या क्लास चलाने की अनुमति देता है।

Java / Exploit.CVE-2012-0507 में वस्तुओं की संरचना इस प्रकार है:



एनआर वर्ग की init () विधि सैंडबॉक्स के बाहर कोड निष्पादित करने के लिए AtomicReferenceArray के प्रकार का एक ऑब्जेक्ट बनाती है।



अगले चरण में, हैल क्लास से doWork () पद्धति को निष्पादित किया जाता है, यह इस पद्धति के साथ है कि क्लास कोड बनाया जाता है, जिसे बाद में सैंडबॉक्स के बाहर निष्पादित किया जाएगा।



सैंडबॉक्स के बाहर जिस क्लास को निष्पादित किया जाना चाहिए उसका कोड एक सरल क्रमपरिवर्तन एन्क्रिप्शन एल्गोरिथ्म के साथ एन्क्रिप्ट किया गया है और इसे निष्पादन से पहले डिक्रिप्ट किया गया है, जो अंततः DownloadAndExec की उपस्थिति की ओर जाता है, जो पहले से ही अलग-थलग वातावरण के बाहर, एक पेलोड को Carberp ट्रोजन के रूप में% TEMP% \ _ vdsd89 की एक निर्देशिका में डाउनलोड करता है। \ gyu <file_number> और इसे निष्पादित करता है।



एंटीवायरस उत्पादों द्वारा पता लगाने के लिए, कोड एन्क्रिप्शन एल्गोरिथ्म लगातार बदल रहा है, जो स्ट्रिंग स्थिरांक के पेलोड और ओफ़्क्यूशन को डाउनलोड करता है।

मुझे लगता है कि इस साल हम जावा प्लेटफॉर्म के लिए शोषण के विषय पर एक से अधिक बार लौटेंगे, और यह इसके लिए अंतिम भेद्यता नहीं है।

अध्ययन लेखक: मैट्रोज़ोव