Lazarus 黑客组织利用 Windows 零日漏洞获取内核权限
2024-2-29 11:13:33 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

研究人员近期发现,Lazarus 黑客组织正在试图利用 Windows AppLocker 驱动程序  appid.sys 中的零日漏洞 CVE-2024-21338,获得内核级访问权限并关闭安全工具,从而能够轻松绕过 BYOVD(自带漏洞驱动程序)技术。1709177095_65dff9074ef4e67805323.png!small?1709177097606

Avast 网络安全分析师发现了这一网络攻击活动,随后便立刻向微软方面上报。微软在 2024 年 2 月发布的安全更新中解决安全漏洞的问题。不过,微软并未将 CVE-2024-21338 安全漏洞标记为零日漏洞。

Lazarus 黑客组织利用 CVE-2024-21338 安全漏洞在其 FudModule rootkit 的更新版本中创建了一个读/写内核基元(ESET 于 2022 年底首次记录了 CVE-2024-21338 漏洞。此前,rootkit 曾滥用戴尔驱动程序进行了 BYOVD 攻击)

新版 FudModule 在隐蔽性和功能性方面有了显著增强,包括但不限于采用了新技术逃避检测和关闭 Microsoft Defender 和 CrowdStrike Falcon 等安全保护。此外,通过检索大部分攻击链,Avast 还发现了 Lazarus 黑客组织使用了一种此前从未记录的远程访问木马 (RAT)。Avast 承诺将在 4 月份的 BlackHat Asia 上分享有关该木马的更多细节。

Lazarus 黑客组织对 0 Day 漏洞利用详情

Lazarus 黑客组织利用了微软 "appid.sys "驱动程序中的一个漏洞,该驱动程序是 Windows AppLocker 组件,主要提供应用程序白名单功能。

Lazarus 团队成员通过操纵 appid.sys 驱动程序中的输入和输出控制(IOCTL)调度程序来调用任意指针,诱使内核执行不安全代码,从而绕过安全检查。1709177104_65dff91029866defbcd11.png!small?1709177104643

漏洞利用中使用的直接系统调用(Avast)

FudModule rootkit 与漏洞利用程序构建在同一模块内,执行直接内核对象 DKOM 操作,以关闭安全产品、隐藏恶意活动并维持被入侵系统的持久性。(安全产品包括 AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon 等以及 HitmanPro 反恶意软件解决方案)

Avast 在新版 rootkit 中发现了新的隐身特性和扩展功能,例如通过 DKOM 进行选择性和有针对性的破坏、增强篡改驱动程序签名执行和安全启动功能等。Avast 还指出,这种新的安全漏洞利用策略标志着威胁攻击者内核访问能力有了重大突破,使其能够发起更隐蔽的网络攻击,并在被入侵网络系统上持续更长时间。1709177114_65dff91aea8e3d455db1e.png!small?1709177115313最后,安全人员指出,针对 CVE-2024-21338 安全漏洞唯一有效的安全措施就是尽快应用 2024 年 2 月的 发布的安全更新。

参考文章:

https://www.bleepingcomputer.com/news/security/lazarus-hackers-exploited-windows-zero-day-to-gain-kernel-privileges/


文章来源: https://www.freebuf.com/news/392838.html
如有侵权请联系:admin#unsafe.sh