E安全1月15日讯 据报道,近日谷歌的“零项目”(Project Zero)安全研究人员发布了一份详细分析报告,分析了去年年初在两台攻击服务器上发现的一系列漏洞,这些漏洞利用被攻破的web服务器攻击目标,用于所谓的“水坑攻击”(waterhole attack)。
“零项目”研究人员没有指出参与者可能是谁,但表示发现的漏洞链通过模块化来提高效率和灵活性:“它们设计精良,代码复杂,具有多种新颖的开采方法、成熟的测井技术、复杂的计算后开采技术,以及大量的反分析和目标检测。”研究人员在谷歌Chrome浏览器中发现了4个漏洞,其中一个是去年2月18日报告的大名鼎鼎的“零日”漏洞。微软还发现了另两个利用Microsoft Windows字体渲染漏洞的零日漏洞,以及客户机/服务器运行时子系统(CSRSS)中的堆缓冲区溢出漏洞,该漏洞被滥用以逃避操作系统中的沙箱或软件执行限制。
相比之下,攻击者使用的是已知的Android设备漏洞。构建和组装攻击链的高技能开发人员团队将攻击分为四个阶段。
在攻击链的第3阶段,被攻击设备的详细信息被发送给指挥和控制服务器,以便在前两个阶段以外的额外目标。阶段3的恶意代码以其高质量让“零号项目”的研究人员印象深刻。研究人员说:“考虑到攻击者在第二阶段使用了所有公开已知的n天(已知漏洞),这一阶段3代码的复杂和精心设计尤其令人着迷。”
攻击者在第1阶段使用了谷歌Chrome 0-day,在第2阶段使用了针对Android n-days的公开攻击,在第3阶段使用了成熟、复杂、设计和工程彻底的攻击。
“这让我们相信,参与者可能有更多特定设备零日漏洞。”第3阶段也将下载最后的有效载荷的攻击配置的信息发送到控制和命令服务器,但零项目没有提供他们所捕获的Android植入物的详细信息。
在零号项目能够从那里提取植入物之前,威胁行动者关闭了Windows攻击服务器。
安全研究人员Maddie Stone说:“我们绝对希望将来能早日解决问题。”零项目团队负责人蒂姆·威利斯指出,今天发表的研究报告并未涵盖2020年10月发现的野生漏洞。这项调查工作仍在进行中,将需要几个月的时间。
2301
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
