前言

今天要说的这个故事主角，疑似来自于XX国家情报院的Darkhotel同志，利用0day漏洞为Chrome音频组件的UAF漏洞，其于最后还试图在下载的恶意代码中混入朝鲜Lazarus网军代码作为假旗试图混淆视听。(声明：该疑似出自卡巴斯基报告，与黑鸟无关)

正文

近日，卡巴斯基曝光了一起利用Chrome漏洞(CVE-2019-13720)进行水坑攻击的活动，该攻击行动被命名为WizardOpium，直译为巫师鸦片。

而该攻击行动，疑似来自Darkhotel的网军入侵了一个朝鲜的网站，并挂上了一个js脚本，疑似目的为针对访问朝鲜网站的某些目标进行攻击，若选中目标，则会下发Chrome音频组件漏洞利用代码，触发漏洞后，通过探测泄露地址和堆喷等操作下发最终的恶意软件。

你要问我怎么看出来是朝鲜的网站，随便点开一个网址便是。

可见，此前网站上被挂上并加载了一个javascript编写的js文件

hxxp://code.jquery.cdn.behindcorona.com/jquery-validates.js

然后，该脚本将加载另一个名为.charlie.XXXXXXXX.js的脚本。

脚本功能是为了判断目标是否为：

1、windows 64位版本而不是WOW64进程

2、Chrome浏览器版本是否大于或等于65

若符合条件，该脚本就会开始向behindcorona.com执行AJAX请求，并将其中路径名指向传递给脚本的参数xxx.php，其中含有一些十六进制编码的字符串，而服务器会根据这些字符串返回指定的漏洞利用代码，而URL中还带有最终Payload的密钥和RC4密钥。

下载完所有代码块后，RC4脚本会将所有部分解密，并拼接在一起，这为攻击者提供了一个包含完整浏览器漏洞的新JavaScript代码，代码入口还会检查一次浏览器版本。

漏洞描述

此处的漏洞利用代码进行了混淆处理。

然后我手打了一下，没啥解混淆的思路。

更详细的分析可见卡巴斯基的分析，分析中称漏洞利用代码中还含有很多的调试代码。

该0day漏洞利用了两个线程之间的竞争条件错误，原因是它们之间缺少适当的同步。它使攻击者处于UaF的状态，从而可能导致代码执行。

如果一个被释放的内存没有被正确地管理，就可能发生信息泄露，甚至是任意代码执行，而该漏洞利用程序首先尝试触发UaF对64位地址（作为指针）尝试获取泄露的地址。(信息泄露)

理想情况为下面的顺序。

1、如果地址成功泄漏，则表明漏洞利用正常。

2、泄漏的地址用于探测堆/堆栈的位置，这可使地址空间布局随机化（ASLR）技术无效；

3、通过在该地址附近进行进一步探测，便可以找到其他一些有用的指针，以供进一步利用。

之后，它尝试使用递归函数创建大量对象，从而开始堆喷寻找在内存未释放的指针进行利用，这也是教科书级的方式。并在最终得以执行Shellcode代码，并运行嵌入的Payload。

恶意软件

最终的Payload将下载加密的二进制文件（worst.jpg），并由shellcode进行解密。

解密后，恶意软件会将updata.exe释放到磁盘上并执行。

为了达到持久化，该恶意软件会在Windows任务计划列表中安装任务。

而该安装程序实际上是RAR格式的压缩文件，两个文件同时在2019年10月8号星期二01:49:31编译。

其中msdisp64.exe会尝试从硬编码的C2服务器中下载下一阶段的木马。

下一阶段位于C2服务器上具有受害者计算机名称的文件夹中

类似 User-PC

因此攻击者可以了解哪些计算机被感染，从而筛选目标，并将下一阶段模块放置在C2服务器上的特定文件夹中，从而可以直接获取下一阶段Payload并运行。

解决方案

Google已针对Windows，Mac和Linux发布了Chrome版本78.0.3904.87，主要针对两个高危漏洞，一个是CVE-2019-13721,另一个就是上面提到的CVE-2019-13720，里面提到了是Chrome音频组件存在Use-after-free漏洞，请及时更新

还有就是将下面这些IOC置黑

behindcorona.com

code.jquery.cdn.behindcorona [。] com

8f3cd9299b2f241daf1f5057ba0b9054

35373d07c2e408838812ff210aa28d90e97e38f2d0132a86085b0d54256cc1cd

27e941683d09a7405a9e806cc7d156c9

8fb2558765cf648305493e1dfea7a2b26f4fc8f44ff72c95e9165a904a9a6a48

f614909fbd57ece81d00b01958338ec2

cafe8f704095b1f5e0a885f75b1b41a7395a1c62fd893ef44348f9702b3a0deb

[email protected]

当然最重要的一句话还是：Darkhotel这次攻击朝鲜目标，也印证了朝鲜半岛的局势依旧紧张。

那对于我们而言，如何像卡巴那样捡到他们的0day攻击武器才是至关重要。

参考链接：

https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html

https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/