Одна из уязвимостей нулевого дня, пропатченных Microsoft на прошлой неделе, использовалась APT-группой FruityArmor для обхода песочницы браузера и исполнения вредоносного кода в рамках целевой атаки.

Выпустив патч, разработчик поблагодарил Антона Иванова из «Лаборатории Касперского» за обнаружение этой бреши 0-day, однако до вчерашнего дня мало что было известно о ее эксплуатации в дикой природе.

RCE-уязвимость CVE-2016-3393 была вызвана некорректностью обработки объектов в памяти при работе графического интерфейса устройств (GDI). Этот ключевой компонент пользовательского интерфейса Windows используется приложениями для представления графических объектов и передачи их на устройства отображения (мониторы, принтеры).

В бюллетене MS16-120, которому был присвоен статус «критический», Microsoft отметила, что эксплуатировать CVE-2016-3393 можно разными способами — к примеру, заманить пользователя на специально созданный сайт, чтобы тот кликнул по нужной ссылке, или спровоцировать его открыть вредоносный файл, присланный по почте вложением или с помощью программы файлообмена.

Согласно блог-записи Иванова на сайте Securelist, в своих атаках FruityArmor комбинировала браузерный эксплойт с целью исполнения вредоносного кода и эксплойт для CVE-2016-3393, позволяющий обойти песочницу браузера и повысить привилегии. При запуске вредоносный модуль, работая в памяти, распаковывает TTF-файл с внедренным эксплойтом к CVE-2016-3393 и загружает его с помощью AddFontMemResourceEx.

Исследователь особо отметил характерную особенность FruityArmor: в отличие от прочих APT-групп, она использует платформу атаки, построенную исключительно на базе PowerShell. Так, на PowerShell написана основная вредоносная закладка, и все команды оператор подает в виде скриптов PowerShell.

После успешного эксплойта CVE-2016-3393 в ход пускается вторая полезная нагрузка, с более широкими правами на исполнение PowerShell. В результате устанавливается соединение с C&C для получения команд и загрузки дополнительных модулей. Представляя результаты анализа, «Лаборатория» воздержалась от более подробного описания modus operandi FruityArmor, чтобы другие злоумышленники не смогли воспользоваться примером этой APT-группы.

За последние пару месяцев были обнаружены несколько вредоносных программ, использующих PowerShell. В августе, например, «лаборанты» представили результаты анализа нового, продвинутого банковского троянца, который распространяется через спам на территории Бразилии и использует штатные PowerShell-скрипты Windows для изменения настроек браузера. В прошлом месяце исследователи из FireEye обнаружили новый вариант даунлоудера Hancitor, который доставляет полезную нагрузку посредством исполнения шелл-кода и тщательно скрывает от жертвы используемые при этом PowerShell-команды.

В текущем году эксперты «Лаборатории Касперского» несколько раз получали от разработчиков благодарность за обнаружение опасных уязвимостей. Помимо бреши в GDI под атакой они нашли две уязвимости нулевого дня в Adobe Flash (CVE-2016-1010 и CVE-2016-4171), а также еще один баг повышения привилегий в Windows — CVE-2016-0165.

По свидетельству Иванова, чем дольше 0-day остаются открытыми, тем больше они привлекательны для атакующих: «Несмотря на растущую тенденцию использовать готовое вредоносное ПО, непропатченные уязвимости нулевого дня остаются главным призом для злоумышленников, особенно ценимым авторами целевых атак».

«Спрос на такие уязвимости в ближайшее время вряд ли уменьшится, и потому важно, чтобы ИБ-исследователи продолжали их искать, защитные технологии могли их детектировать, а разработчики ПО быстро реагировали, выпуская патчи, — добавляет эксперт. — Все мы несем ответственность за защиту потребителя».

Категории: Аналитика, Уязвимости, Хакеры