本站公告:本站域名:www.gaojz.com,玩家速记【gao=搞】【J=决】【Z=战】
决战私服 发布决战 发布家族 家族联盟 广告联系 更多私服 技术资料
 
所有私服
电信
网通
双线
决战-Internet Explorer脚本引擎成为2018年朝鲜APT组织最喜爱的攻击目标
文章作者:搞决战 文章来源:搞决战私服发布网 更新时间:2018-11-18 13:18:43 

今年,在黑客成功部署了两个0 day漏洞后,Internet Explorer的脚本引擎正式升级为朝鲜网络间谍组织最喜欢的攻击目标。

没错,今天所说的这个组织就是DarkHotel,迈克菲和许多其他网络安全公司一致认为,这是一个与朝鲜政权存在联系的网络间谍组织。该组织自2007年以来一直处于活跃状态,但直至2014年才公开曝光在公众视野中。当时,卡巴斯基实验室发布了一份报告,详细介绍了该组织采取的一些黑客攻击手法,其中包括破坏数百家酒店的内部WiFi网络,以便通过恶意软件感染高端客户。

DH-1.png

尽管攻击手法在公开报道中得到了曝光,但是DarkHotel并没有就此停止攻击活动,其继续针对受害者(2016和2017年主要针对政治人物)采取相同的策略实施攻击。值得一提的是,在网络安全圈中,该组织还有很多不同的名称,包括APT-C-06、Dubnium、Fallout Team、Karba、Luder、Nemim、SIG25以及Tapaoux。

DarkHotel执着的偏好:INTERNET EXPLORER

直至2018年,该黑客组织仍然一直十分活跃,并且在多次攻击活动中采用了相同的技术——Internet Explorer的VBScript脚本引擎。

研究人员表示,DarkHotel黑客在今年4月份发现并利用了第一个IE 0 day(CVE-2018-8174),然后又在8月份利用了第二个IE 0 day(CVE-2018-8373)。据悉,CVE-2018-8174漏洞最初是由奇虎360的研究人员发现的,并将其戏称为“双杀(Double Kill)”,这是一个VBScript引擎远程执行代码漏洞,成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统,然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。

而CVE-2018-8373则是由网络安全公司趋势科技于今年7月份捕获到的一例在野0 day漏洞攻击,该攻击同样利用了Windows VBScript引擎的代码执行漏洞。研究人员经过分析对比发现,该0 day漏洞和2018年4月360公司首次发现的“双杀”漏洞使用了多个相同的攻击技术。对于这两款危害极大的0 day漏洞,微软公司已经分别于5月和9月完成了修复工作。

但是,根据近日奇虎360公司发布的一份新报告指出,该组织还为两个较旧的IE脚本引擎漏洞(即CVE-2017-11869和CVE-2016-0189)创建了新的漏洞利用。

研究人员介绍称,

经过分析,我们发现这4个漏洞(CVE-2017-11869和CVE-2016-018以及上述的CVE-2018-8174和CVE-2018-8373)的混淆和利用手法都高度一致,我们怀疑背后有一个写手(或团队),一直在开发vbscript的0 day利用并用于攻击活动。

0 day很难发现,甚至更难在可用的漏洞利用中武器化。而为旧漏洞创建新的漏洞利用更是一件困难的事情。我们可能永远都不会知道为什么DarkHotel要花费如此多的资源来针对Internet Explorer,但这种趋势对于所有APT研究人员来说都是非常明显且值得关注的。

攻击并未随IE VBscript引擎的“消亡”而消亡

Internet Explorer的VBScript脚本引擎并不是什么顶级微软技术,它实际上是Windows和Internet Explorer早期的一段古老代码,一直深受大量漏洞的困扰。

其实,早在多年前,微软就已经清楚的意识到该组件存在的安全隐患,并针对Web技术中的VBScript脚本技术发表过相关的声明,认为该技术应该被逐步淘汰,并不应该再被用做IE11的脚本语言。实际上,在IE11中,VBScript已经不能在Web页面显示中被执行了。但是,为了保证旧网站的兼容性,微软还是允许VBScript在传统文档模式中以临时解决方案的形式存在。

后来,到了2017年,随着Windows 10 Creators Update的推出,微软正式在其Windows官方博客中表示,允许用户在IE11中屏蔽面向所有的文档模式的VBScript实现。企业用户可以在组策略中配置这一功能,而普通用户可以通过注册表在安全区域中配置该功能,或者使用Microsoft Fix来一次性解决。

这一变化就意味着黑客无法再通过Windows 10中的Internet Explorer,使用VBScript代码对用户进行攻击。当然,此举也确实阻止了许多网络犯罪活动,但是DarkHotel似乎已经适应了微软最近的VBScript弃用公告。

据报道,DarkHotel已经发现了其他方法来加载脚本。例如,Office套件中的应用程序依赖IE引擎来加载和呈现Web内容。因此,该组织就选择使用嵌入在Office文档中的VBScript漏洞,并且不直接通过浏览器定位Internet Explorer用户。

相反地,DarkHotel会将Word文档发送给受害者,在文档中,他们可以通过可嵌入的IE框架加载恶意网页。DarkHotel黑客的选择无疑是非常明智的,因为2018年新出现的IE0 day漏洞表明,VBScript代码执行仍然可行。

根据目前的证据显示,随着微软继续为越来越多的用户禁用VBScript执行,该黑客组织可能正试图在VBScript漏洞利用变得毫无价值之前,充分发挥其“余热”,紧锣密鼓的部署一系列攻击活动。不知道,在今年结束之前,是否还会出现第5个针对IE VBScript的漏洞利用呢?

最新文章
·《决战》异度要塞7月11日首测上...
·《决战》7月11日更新维护公告...
·《决战》强改助升活动关闭说明...
·《决战》全球追缉战区临时维护公告...
·《决战》7月6日更新维护公告...
·《决战》强改助升·爆肝赢豪礼...
·《决战》7月5日更新维护公告...
·合纵连横·《决战》异度要塞即将爆...
·《决战》近期更新预告...
·《决战》6月20日版本更新说明...
·《决战》6月20日版本更新说明...
·《决战》6月20日版本更新说明...
热门文章
·决战SF架设教程...
·决战8.0刷幻石代码...
·阳光8.0常用GM刷物品代码...
·决战8.0武器和装备全部代码(含...
·莫斯科地铁爆炸已造成26人死亡...
·决战私服务GM召唤怪物命令...
·决战阳光8.0GM刷物品命令...
·决战私服GM命令...
·阳光4.0部分GM命令和设置...
·决战4.0架设教程...
站长QQ:2643312220 版权所有:决战私服  

本站只为免费宣传决战,拒绝盗版游戏 注意自我保护 谨防受骗上当 适度游戏益脑 沉迷游戏伤身 ,所有信息均由网友自行发布,玩家请仔细辨别避免上,请支持决战正版官方

渝ICP备09057545号