网军利用谷歌Chrome浏览器漏洞，针对朝鲜目标发起水坑攻击

前言

今天要说的这个故事主角，疑似来自于XX 国家情报院的Darkhotel同志 ，利用0day漏洞为Chrome音频组件的UAF漏洞，其于最后还试图在下载的恶意代码中混入朝鲜Lazarus网军代码作为假旗试图混淆视听。(声明：该疑似出自卡巴斯基报告，与黑鸟无关)

正文

近日，卡巴斯基曝光了一起利用Chrome漏洞(CVE-2019-13720)进行水坑攻击的活动，该攻击行动被命名为WizardOpium，直译为巫师鸦片。

而该攻击行动，疑似来自Darkhotel的网军入侵了一个朝鲜的网站，并挂上了一个js脚本，疑似目的为针对访问朝鲜网站的某些目标进行攻击，若选中目标，则会下发Chrome音频组件漏洞利用代码，触发漏洞后，通过探测泄露地址和堆喷等操作下发最终的恶意软件。

你要问我怎么看出来是朝鲜的网站，随便点开一个网址便是。

可见，此前网站上被挂上并加载了一个javascript编写的js文件

hxxp://code.jquery.cdn.behindcorona.com/jquery-validates.js

然后，该脚本将加载另一个名为.charlie.XXXXXXXX.js的脚本。

脚本功能是为了判断目标是否为：

1、windows 64位版本而不是WOW64进程

2、Chrome浏览器版本是否大于或等于65

若符合条件，该脚本就会开始向behindcorona.com执行AJAX请求，并将其中路径名指向传递给脚本的参数xxx.php，其中含有一些十六进制编码的字符串，而服务器会根据这些字符串返回指定的漏洞利用代码，而URL中还带有最终Payload的密钥和RC4密钥。

下载完所有代码块后，RC4脚本会将所有部分解密，并拼接在一起，这为攻击者提供了一个包含完整浏览器漏洞的新JavaScript代码，代码入口还会检查一次浏览器版本。

漏洞描述

此处的漏洞利用代码进行了混淆处理。

然后我手打了一下，没啥解混淆的思路。

更详细的分析可见卡巴斯基的分析，分析中称漏洞利用代码中还含有很多的调试代码。

该0day漏洞利用了两个线程之间的竞争条件错误，原因是它们之间缺少适当的同步。它使攻击者处于UaF的状态，从而可能导致代码执行。

如果一个被释放的内存没有被正确地管理，就可能发生信息泄露，甚至是任意代码执行，而该漏洞利用程序首先尝试触发UaF对64位地址（作为指针）尝试获取泄露的地址。(信息泄露)

理想情况为下面的顺序。

1、如果地址成功泄漏，则表明漏洞利用正常。

2、泄漏的地址用于探测堆/堆栈的位置，这可使地址空间布局随机化（ASLR）技术无效；

3、通过在该地址附近进行进一步探测，便可以找到其他一些有用的指针，以供进一步利用。

之后，它尝试使用递归函数创建大量对象，从而开始堆喷寻找在内存未释放的指针进行利用，这也是教科书级的方式。并在最终得以 执行Shellcode代码，并运行嵌入的Payload。

恶意软件

最终的Payload将下载加密的二进制文件（worst.jpg），并由shellcode进行解密。

解密后，恶意软件会将updata.exe释放到磁盘上并执行。

为了达到持久化，该恶意软件会在Windows任务计划列表中安装任务。

而该安装程序实际上是RAR格式的压缩文件，两个文件同时在2019年10月8号星期二 01:49:31 编译。

其中msdisp64.exe会尝试从硬编码的C2服务器中下载下一阶段的木马。

下一阶段位于C2服务器上具有受害者计算机名称的文件夹中

类似 User-PC

因此攻击者可以了解哪些计算机被感染，从而筛选目标，并将下一阶段模块放置在C2服务器上的特定文件夹中，从而可以直接获取下一阶段Payload并运行。

解决方案

Google已针对Windows，Mac和Linux发布了Chrome版本78.0.3904.87，主要针对两个高危漏洞，一个是CVE-2019-13721,另一个就是上面提到的CVE-2019-13720，里面提到了是Chrome音频组件存在Use-after-free漏洞，请及时更新