Internet Explorer脚本引擎成为2018年朝鲜APT组织最喜爱的攻击目标_旅店

访客4年前黑客工具1187

今年,在黑客成功部署了两个0 day漏洞后,Internet Explorer的脚本引擎正式升级为朝鲜 *** 间谍组织最喜欢的攻击目标。没错,今天所说的这个组织就是DarkHotel,迈克菲和许多其他 *** 安全公司一致认为,这是一个与朝鲜政权存在联系的 *** 间谍组织。该组织自2007年以来一直处于活跃状态,但直至2014年才公开曝光在公众视野中。当时,卡巴斯基实验室发布了一份报告,详细介绍了该组织采取的一些黑客攻击手法,其中包括破坏数百家酒店的内部WiFi *** ,以便通过恶意软件感染高端客户。尽管攻击手法在公开报道中得到了曝光,但是DarkHotel并没有就此停止攻击活动,其继续针对受害者(2016和2017年主要针对政治人物)采取相同的策略实施攻击。值得一提的是,在 *** 安全圈中,该组织还有很多不同的名称,包括APT-C-06、Dubnium、Fallout Team、Karba、Luder、Nemim、SIG25以及Tapaoux。DarkHotel执着的偏好:INTERNET EXPLORER直至2018年,该黑客组织仍然一直十分活跃,并且在多次攻击活动中采用了相同的技术——Internet Explorer的VBScript脚本引擎。研究人员表示,DarkHotel黑客在今年4月份发现并利用了之一个IE 0 day(CVE-2018-8174),然后又在8月份利用了第二个IE 0 day(CVE-2018-8373)。据悉,CVE-2018-8174漏洞最初是由奇虎360的研究人员发现的,并将其戏称为“双杀(Double Kill)”,这是一个VBScript引擎远程执行代码漏洞,成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统,然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。而CVE-2018-8373则是由 *** 安全公司趋势科技于今年7月份捕获到的一例在野0 day漏洞攻击,该攻击同样利用了Windows VBScript引擎的代码执行漏洞。研究人员经过分析对比发现,该0 day漏洞和2018年4月360公司首次发现的“双杀”漏洞使用了多个相同的攻击技术。对于这两款危害极大的0 day漏洞,微软公司已经分别于5月和9月完成了修复工作。但是,根据近日奇虎360公司发布的一份新报告指出,该组织还为两个较旧的IE脚本引擎漏洞(即CVE-2017-11869和CVE-2016-0189)创建了新的漏洞利用。研究人员介绍称,经过分析,我们发现这4个漏洞(CVE-2017-11869和CVE-2016-018以及上述的CVE-2018-8174和CVE-2018-8373)的混淆和利用手法都高度一致,我们怀疑背后有一个写手(或团队),一直在开发vbscript的0 day利用并用于攻击活动。0 day很难发现,甚至更难在可用的漏洞利用中武器化。而为旧漏洞创建新的漏洞利用更是一件困难的事情。我们可能永远都不会知道为什么DarkHotel要花费如此多的资源来针对Internet Explorer,但这种趋势对于所有APT研究人员来说都是非常明显且值得关注的。攻击并未随IE VBscript引擎的“消亡”而消亡Internet Explorer的VBScript脚本引擎并不是什么顶级微软技术,它实际上是Windows和Internet Explorer早期的一段古老代码,一直深受大量漏洞的困扰。其实,早在多年前,微软就已经清楚的意识到该组件存在的安全隐患,并针对Web技术中的VBScript脚本技术发表过相关的声明,认为该技术应该被逐步淘汰,并不应该再被用做IE11的脚本语言。实际上,在IE11中,VBScript已经不能在Web页面显示中被执行了。但是,为了保证旧网站的兼容性,微软还是允许VBScript在传统文档模式中以临时解决方案的形式存在。后来,到了2017年,随着Windows 10 Creators Update的推出,微软正式在其Windows官方博客中表示,允许用户在IE11中屏蔽面向所有的文档模式的VBScript实现。企业用户可以在组策略中配置这一功能,而普通用户可以通过注册表在安全区域中配置该功能,或者使用Microsoft Fix来一次性解决。这一变化就意味着黑客无法再通过Windows 10中的Internet Explorer,使用VBScript代码对用户进行攻击。当然,此举也确实阻止了许多 *** 犯罪活动,但是DarkHotel似乎已经适应了微软最近的VBScript弃用公告。据报道,DarkHotel已经发现了其他 *** 来加载脚本。例如,Office套件中的应用程序依赖IE引擎来加载和呈现Web内容。因此,该组织就选择使用嵌入在Office文档中的VBScript漏洞,并且不直接通过浏览器定位Internet Explorer用户。相反地,DarkHotel会将Word文档发送给受害者,在文档中,他们可以通过可嵌入的IE框架加载恶意网页。DarkHotel黑客的选择无疑是非常明智的,因为2018年新出现的IE0 day漏洞表明,VBScript代码执行仍然可行。根据目前的证据显示,随着微软继续为越来越多的用户禁用VBScript执行,该黑客组织可能正试图在VBScript漏洞利用变得毫无价值之前,充分发挥其“余热”,紧锣密鼓的部署一系列攻击活动。不知道,在今年结束之前,是否还会出现第5个针对IE VBScript的漏洞利用呢?

标签: 好话题

相关文章

开房记录网上好查吗,怎么能查到

前段时间就有人去发了一个短视频APP是来自一个街头测试,主持人突然拦住了一对正在拍婚纱照的情侣,然后他拿出了自己的iPad,对这对新人说:只要是输入各自的身份证,你们就可以查出当时你们所做的一切行为,...

刷客之上:黑客操纵的舞台_淘宝服务

互联网金融的快速发展,正带给刷客、卡商、黑客更多的盈利舞台。以刷单牟利的刷客们愈发猖獗,其背后套取实名制手机号的卡商、提供技术服务的黑客“通力合作”,完成了灰黑产业链的闭环,瓜分互联网企业分给新用户的...

黑客教你定位微信地址(定位手机具体位置)?

手机已经成为现当今必备的电子产品,可是你知道黑客是如何定位你的手机的微信具体位置,这不是张师傅就经历了这样的事情,正是手机定位具体位置帮助了他找回了丢的手机。 黑客教你定位微信地址 1.近来住在贵...

只有微信号可以恢复别人的微信聊天记录吗 怎么破解别人的微信密码

只有微信号可以恢复别人的微信聊天记录吗 怎么破解别人的微信密码 普通人的真实战争    最大的艺术感染力,就是真实的感染力。无论是《1917》,还是德国短电影《the Battle of Ruins...

窃取别人微信信息犯法吗? 窃取别人微信聊天记录容易吗

Photo by @谭山山 古猫宁!俺们又见面啦! 这几天,一个新词火了——“云养猫”。 Excuse me ?? 俺只知道云计算、百度云、有道云,“云养猫”是个什么鬼? “云养猫”可以定...

通过你的手机号黑客就能找取微信可信吗?

黑客是黑客的名义控制别人的电脑黑客技术中,我们知道有手机定位功能,但不知道手机号码定位的方法,所以今天黑客手机电话号码和手机号码告诉我们的定位软件的下载,仅凭手机号码就能准确定位,听到0的误差,你有惊...