APT组织PawnStorm 0Day如何绕过Java点击播放保护

最新推荐文章于 2021-07-09 18:46:49 发布
最新推荐文章于 2021-07-09 18:46:49 发布
阅读量626 收藏
点赞数
分类专栏: 安全

几个月以前,趋势科技发现了APT组织Pawn Storm利用之前未经披露的Java漏洞(CVE-2015-2590)进行攻击。在那之后,我们注意到一个被用于染过Java点击播放(click-to-play)保护的独立漏洞。


第二个漏洞(CVE-2015-4902)现在已经在Oracle定期的季度更新中被修复,并将此归功于趋势科技的发现。

FreeBuf百科:Click-to-play

Click-to-play要求用户在Java应用程序执行之前,在空白处单击一下。实际上,它要求用户只有在十分确定需要运行Java代码的情况下才会运行。


绕过click-to-play保护技术允许恶意Java代码在没有显示任何警告窗口的情况下运行。Pawn Storm对于这一手段运用得炉火纯青,因为它在今年年初针对北约成员以及白宫进行的攻击中利用了这些漏洞的exp。Pawn Storm本身就以超高频率运用着0day漏洞:上个星期,就被发现使用了未补丁的Adobe Flash漏洞实施攻击(这个漏洞已被Adobe修复)。


Oracle在我们报告这个漏洞时就承认了漏洞的存在。用于绕过这种保护的方式很巧妙,在我们讨论漏洞之前,有必要先对背景信息进行一下梳理。

相关背景介绍

Oracle为应用程序在用户桌面启动提供了Java网络启动协议Java Network Launch Protocol(JNLP)技术,允许调用远程Web服务器托管的资源。它可以用于部署一个应用程序或者Web Start应用程序。在攻击场景中,使用JNLP部署应用程序。


Java提供了一个目录服务,允许Java软件用户通过一个名字来发现与查找目标。这就是所谓的Java命名与目录接口(JNDI),Java命名与目录接口。这个机制是Java远程过程调用的基础,又名远程方法调用(RMI)。JNDI与这个exp相关的一些基础概念,如下所示:

· Context——一组name-to-object绑定。换句话说,Context对象能够解决名字与对象间一一对应。对象包含几种类型;其中RegistryContext便是这些类型之一。

· ContextFactory——这可以创建一个用于调用的Context对象。RegisterContextFactory则是用来创建ContextFactory对象的。

EXP的工作原理

图1. 如何绕过click-to-play


攻击者在攻击前需要完成三个任务:

1、将图2中的HTML代码添加到一个恶意网站;

2、创建一个具备公共IP地址的RMI注册服务器;

3、创建另一个同样具有公共IP地址的web服务器,用来保存恶意Java代码。


图2. 插入恶意网站的HTML代码

攻击究竟是如何进行的?

1、在受害者机器上,jp2launcher.exe进程是由web浏览器进程forke而来,并且从恶意网络服务器上请求init.jnlp。以上操作都是使用图片二中的HTML代码完成的(.jnlp是使用JNLP技术启动Java代码的后缀)。


2、恶意网站发送回init.jnlp,现在再来看一下文件的内容:


图3. Init.jnlp内容


红色圈中的内容并不寻常。进程级的标签含义可从Java开发人员指南中找到。这类应该可以实现Java接口DownloadServiceListener。但是,攻击者使用javax.naming.InitialContext。然而,JRE并不能用于检测并让代码执行。


3、Java类Javax.naming.InitialContext的构造函数要从恶意网站请求应用程序的JNDI.properties(即JNDI配置文件)。


4、恶意网站服务器发送JNDI.properties到客户端。下面让我们来看看这个文件的内容:


图4. JNDI.properties内容


Java.naming.factory.intial 指定了初始context factory类。 java.naming.provider.url指定目录服务器提供者的地址为.javax.naming。InitialContext的构造函数会创建com.sun.jndi.rmi.registry.RegistryContextFactory对象,并使用它来创建初始上下文。


5、在创建初始上下文期间,它会与RMI注册服务器沟通来获取上下文信息。在图4中,这个java.naming.provider.url=rmi://{恶意服务器}/Go。这个URL使用了以下格式://[主机]/[对象]。因此,[对象]是Go。这便会允许客户端找到EMI服务器上的对象信息。


6、RMI服务器送还它的回复并允许客户端通过HTTP服务器从恶意Java类请求Go.class。


7、服务器发送Go.class内容给客户端。Java类中的代码在目标机器上运行的。


步骤3-7将在javax.naming.InitialContext的构造函数内进行,这不失为一个相当聪明的绕过click-to-play保护方式。


这里我们强调了用于复杂系统例如Java中安全保护特性(例如click-to-play)的重要性,对于已存在新特点进行审计是个必要过程。这确保了“优秀”功能和安全性都不会丧失。


如果Java仍能继续被广泛使用,绕过click-to-play保护的意义将是深远的。任何偶然发现的0day漏洞都将会利用。


这个特殊漏洞已经在最新的Java版本中获得了修复。用户应该尽快下载最新版本Java,尽管在一些情况下Java已经被慢慢淘汰。依赖Java的机构应该考虑是否。

威胁指标IOC

JNLP文件用于启动这一exp链的SHA1值为:38F643B48B35B765326CEE6A1D16E1C35DCA93FD。

Aiden御舟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化(之)Weblogic反序列化系列初探 CVE-2015-4852
Vicl1fe的博客
03-24 1492
前言 weblogic反序列化主要有XMLDecoder和T3协议。先从T3协议开始,主要是CVE-2015-4852这个漏洞 环境搭建 https://blog.csdn.net/qq_41918771/article/details/117467957 https://blog.csdn.net/weixin_45682070/article/details/123230456 主要参考这两篇文章,第一篇是我写的,但是由于源不能用了原因,可以参考第二篇 T3协议 T3概述 RMI通信使用的是序列化数
0DAYAPT攻防.ppt
06-11
0DAYAPT攻防
BlackHat2016——JDNI注入/LDAP Entry污染攻击技术研究
Exploit的小站~
05-10 5418
(一)基本概念 1.1 JNDI JNDI(Java Naming and DirectoryInterface),直译为命名与目录接口。JNDI是一组客户端通过名称(Naming)来寻找和发现数据和对象的API。 JNDI的概念分为命名系统和目录系统: (1) 命名系统(Naming Service):将实体使用名称和值的方式联系起来,俗称绑定。 l DNS:将机器的网络地址和...
weblogic反序列化_从Weblogic原理上探究CVE20154852、CVE20160638、CVE20163510究竟怎么一回事...
weixin_39612653的博客
11-29 1252
更多全球网络安全资讯尽在邑安全目前。网上关于CVE-2015-4852漏洞的资料很多,但是针对CVE-2015-4852漏洞如何修复,修复补丁又是如何生效的却少之又少;而CVE-2016-0638、CVE-2016-3510这两个漏洞又是如何绕过CVE-2015-4852补丁的,则只是在介绍Weblogic系列漏洞时被一句话带过。CVE-2015-4852、CVE-2016-0638以及...
Pawn Storm网络间谍行动再度现身
亚信安全-云安全博客
10-27 3546
亚信安全最新发现Pawn Storm网络间谍行动利用最新的Adobe Flash漏洞对全球展开攻击,此漏洞目前确认影响Adobe FlashPlayer 19.0.0.185及19.0.0.207这两个版本,多个国家的外交部成为此番攻击的目标。         Pawn Storm是一项兼具深度与广度的持续性网络间谍行动,自2007年开始即专门针对一些知名机构和人士,政府机关或是媒体名人等都在攻
Java代码审计手册(3)
kudos123的博客
12-23 3268
此文为转载翻译文章(可能会出现错误) 目录 动态JSP包含(JSP_INCLUDE) Spring表达式中的动态变量(JSP_SPRING_EVAL) 禁用特殊XML字符的转义(JSP_JSTL_OUT) JSP中的潜在XSS(XSS_JSP_PRINT) Servlet中潜在的XSS(XSS_SERVLET) XMLDecoder用法(XML_DECODER) 静态IV(STATIC_IV) ECB模式不安全(ECB_MODE) 密码易受Oracle填充(PADDING_ORACLE) 没有完整性的密.
张聪:APT检测中的0day和恶意软件检测
05-29
9月23-25日,中国规模最大的信息安全专业会议——2013中国互联网安全大会(ISC)在北京国家会议中心举行。360公司资深安全研究员张聪介绍了《APT检测中的0day和恶意软件检测》。
基于公开情报的APT组织跟踪
04-26
他山之石可以攻玉-基于公开情报的APT组织跟踪,内容丰富,值得学习。
美国APT组织分析报告
02-08
美国APT组织相关分析报告
安全半月谈:Java两年来首现0day、KCon2015将召开
cpongo5
08-17 141
安全要闻\\Firefox 42禁用未签名扩展\\尽管主要浏览器仍然在使用NPAPI技术,但插件这种历史遗留技术“已经成为导致众多失去响应、甭溃、安全事故以及代码复杂化的罪魁祸首。”Google已经宣布将移除Netscape插件API,自Chrome 42开始禁用NPAPI和Java、Unity、Silverlight插件。Mozilla今年初则宣布将推广强制的扩展签名,扩展开发者需要将扩展递交到...
CVE-2016-4977 RCE in Spring Security OAuth漏洞分析
c0c0cf的专栏
09-21 1954
新浪微博: http://weibo.com/u/2275304001/home?wvr=5 微信公众号 DebugPwn 漏洞描述: When processing authorization requests using the whitelabel views, the response_type parameter value was executed
CVE-2015-4852 java 反序列化漏洞--weblogic补丁
热门推荐
水滴石穿
01-04 2万+
    CVE-2015-4852 Patch Availability Document for Oracle WebLogic Server Component of Oracle Fusion Middleware (Doc ID 2075927.1) To Bottom APPLIES TO: PeopleSoft Enterprise PT Peo...
Find-Sec-Bugs 漏洞范例
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
Windows Print Spooler服务最新漏洞CVE-2021-34527详细分析
爱国小白帽
07-09 1万+
0x00 前言 近日,有安全研究员在github上公开了"CVE-2021-1675"的exp PrintNightmare,后经验证公开的exp是一个与CVE-2021-1675不同的漏洞,微软为其分配了新的编号CVE-2021-34527。这篇文章记录了CVE-2021-34527的复现过程,并对漏洞成因进行了简单的分析。 0x01 漏洞复现 这里记录域控环境下使用普通权限域账户实现RCE反弹nt authority\system shell的过程。下面的漏洞复现和漏洞分析都是基..
俄罗斯间谍组织Pawn Storm新武器:Linux Fysbis木马
weixin_34240657的博客
07-03 197
PaloAlto恶意软件研究员发现了一个名为Fysbis的木马,是俄罗斯政府支持的网络间谍组织Pawn Storm所使用的一个简单而有效的Linux木马。 还记得Pawn Storm黑客组织吗?其实它有很多名称,APT28、Sofacy、Sednit等都是这个组织的名字,据推断它至少从2007年就开始活跃了。而Pawn Storm这个名字是安全专家特指...
2024年欧洲化学电镀市场主要企业市场占有率及排名.docx
06-25
2024年欧洲化学电镀市场主要企业市场占有率及排名.docx
计算机本科生毕业论文1111
最新发布
06-25
老人服务系统
探索Elasticsearch的节点角色:集群的构建基石
06-25
Elasticsearch是一个基于Lucene的搜索引擎,它提供了一个分布式、多租户能力的全文搜索引擎,具有HTTP web接口和无模式的JSON文档。Elasticsearch是用Java编写的,但也可以作为服务在多种操作系统上运行,包括Windows、Linux和macOS。 ### Elasticsearch的主要特点包括: 1. **分布式性质**:Elasticsearch天生设计为分布式,可以很容易地扩展到数百台服务器,处理PB级别的数据。 2. **实时搜索**:Elasticsearch提供了快速的搜索能力,可以实时索引和搜索数据。 3. **高可用性**:通过自动分片和复制,Elasticsearch确保了数据的高可用性和容错性。 4. **多租户**:Elasticsearch支持多租户,允许多个用户或应用共享同一集群资源。 5. **丰富的查询语言**:Elasticsearch提供了强大的查询语言,支持结构化、非结构化数据的复杂搜索需求。 6. **横向扩展**:Elasticsearch可以通过简单地增加节点来扩展集群。 等
JAVA语言考试系统的设计与实现(论文+源代码+文献综述+外文翻译+开题报告).zip
06-25
JAVA语言考试系统的设计与实现(论文+源代码+文献综述+外文翻译+开题报告)
《2021深信服APT攻防趋势半年洞察》-30页
05-07
6. **事件视角**:报告列举了一些重大APT攻击事件,如SolarWinds供应链攻击、Lazarus组织对安全人员的攻击、REvil组织的Kaseya0day攻击和DarkSide组织的定向勒索,展示了全球APT活动的活跃度。 7. **全球APT组织...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值