谷歌研究人員發現macOS漏洞利用。

谷歌研究人員在macOS系統中發現了一個安全漏洞——CVE-2021-30869。攻擊者利用該漏洞可以以kernel權限執行任意代碼。8月底，谷歌研究人員發現了該漏洞的0 day在野利用，本文詳細介紹利用該0 day漏洞的攻擊活動情況。

水坑攻擊

研究人員在攻擊者控制的服務器上發現了攻擊中使用的網站中含有2個iframe，其中一個是iOS漏洞利用，一個是macOS漏洞利用。

iOS漏洞利用

iOS漏洞利用鏈使用基于Ironsquirrel的框架來加密傳遞到受害者瀏覽器的加密漏洞利用。研究人員尚未獲得完整的iOS利用鏈，只發現攻擊者利用CVE-2019-8506漏洞在Safari瀏覽器中實現代碼執行。

macOS漏洞利用

macOS漏洞利用使用的框架與iOS不同。加載頁中含有1個簡單的HTML頁面，可以加載2個腳本，一個是Capstone.js，一個是漏洞利用鏈。

腳本

參數rid 是一個全局計數器，會記錄漏洞利用的嘗試次數。研究人員發現該漏洞利用鏈時該計數器已經達到200了。

漏洞利用鏈開始時JS會在運行漏洞利用前檢查訪問者是否運行macOS Mojave (10.14)或Catalina (10.15)。研究人員用Mojave訪問站點時只接收到一個未加密的漏洞利用鏈。

遠程代碼執行

通過在最新的Safari (14.1)瀏覽器版本上加載含有WebKit RCE的頁面，研究人員發現并沒有成功觸發該漏洞利用。為驗證該假設，研究人員運行git bisect，并確定目前已經修復。

沙箱逃逸和本地權限提升

Capstone.js

研究人員發現攻擊者在漏洞利用鏈中使用了Capstone.js，而該js文件常被用于二進制文件分析。攻擊者使用它來在內存中搜索dlopen和dlsym的地址。

capstone.js

Capstone.js的配置為X86-64而非ARM，因此可以推測目標硬件為基于Intel的Mac。

嵌入的Mach-O

WebKit RCE 成功執行后，嵌入的Mach-O二進制文件就會加載到內存中，修復并運行。通過分析，研究人員發現該二進制文件中含有可以逃逸Safari沙箱、進行權限提升、從C2下載第二階段內容的代碼。

Mach-O

提取的二進制文件進行了混淆。解碼后的字符串如下所示：

解碼后，研究人員發現其中含有從C2下載文件的代碼。

在下載payload后，會移除文件的隔離屬性以繞過檢測。然后提升權限來安裝payload。

為在虛擬環境下運行漏洞利用，研究人員在Python環境下寫了一個加載器來實現以下功能：

?加載Mach-O到內存中；

?找到dlopen 和 dlsym的地址；

?用dlopen 和 dlsym的地址填充內存中加載的Mach-O；

?運行Mach-O時傳遞payload url作為參數。

MACMA Payload

權限提升到root后，下載的payload就會被加載并在受害者機器后臺運行。Payload通過數據分發服務（DDS）框架與C2進行通信。其中含有多個組件，其中部分組件被配置成了模塊。其中該后門的常見功能包括：

?獲取受害者指紋信息

?截取用戶屏幕

?文件下載和上傳

?執行終端命令

?錄制音頻

?記錄鍵盤輸入

點擊獲取【網絡安全學習技術資料·指南】

總結

以上是生活随笔為你收集整理的利用该0 day漏洞的攻击活动情况的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。