Tag Archives: Adobe Flash

Recent Exploit for Adobe Flash Vulnerability Targeting Users in Japan for Financial Information

In mid-May, Symantec observed a gradual uptick in attacks exploiting the Adobe Flash Player Buffer Overflow Vulnerability (CVE-2014-0515), and we continued to monitor this trend. Symantec’s research now indicates that the attacks are being performed on a massive scale and that majority of them are focused on Japan.

Back in April, CVE-2014-0515 was originally being exploited in watering-hole attacks against specific organizations or industries. Later in the same month, Adobe released a patch for the vulnerability. However, just a few weeks later Symantec telemetry indicated that instead of the initial targets, the exploit was now being used to target a wider range of Internet users.

Figure1_12.png
Figure 1. Attackers using the Adobe exploit mostly targeting Japan

As seen in Figure 1, more than 90 percent of the attacks exploiting the vulnerability are targeting Japanese users. The attacks are typically carried out through drive-by-download and leverage compromised legitimate websites to host malicious code. The websites then redirect traffic to a malicious site prepared by the attacker.

The following websites were compromised to trigger attacks in Japan:

  • his-jp.com (travel agency)
  • jugem.jp (blog service)
  • pandora.tv (video sharing service)

In addition to the above websites, blog sites that use the JUGEM rental service are also affected.

Once the browsers are redirected to the malicious site, which has the IP address 1.234.35.42, they render the exploit code that attempts to exploit CVE-2014-0515. If an older version of the software is installed on the computer, the attack will execute a series of malicious files to compromise the computer with the malware Infostealer.Bankeiya.B, which steals banking information from users.

Figure2_8.png

Figure 2. Daily number of attacks on Japanese users

Figure3_6.png

Figure 3. Cumulative number of attacks on Japanese users

Infostealer.Bankeiya.B monitors the Web browsers Google Chrome, Mozilla Firefox and Microsoft Internet Explorer. The Trojan gathers specific user data typically found in online banking transactions.

The malware can also update itself, enabling it to target more banks and add more capabilities in order to perform additional malicious actions.

Since the Adobe Flash Player Buffer Overflow Vulnerability (CVE-2014-0515) is used heavily in the wild, Symantec advises users to update Adobe Flash to the latest version. It is important to patch not only the operating system and applications installed on computers, but also any plug-ins used by browsers.

Protection
Symantec customers are protected against this attack with the following detections:

AV

IPS

2014 ??????????????? Elderwood ????????

シマンテックは 2012 年、さまざまな業種に対するスピア型フィッシングや水飲み場型攻撃に利用された Elderwood プラットフォームについて調査しました。Elderwood プラットフォームは基本的に一連の悪用コードから構成されており、それらが「ユーザーフレンドリーな」形で作成されパッケージ化されているため、技術力の高くない攻撃者でも、標的に対して簡単にゼロデイ悪用コードを使うことができます。

軍需産業、軍事関係のサプライチェーン、製造業、IT、人権問題など幅広い分野に対して、Elderwood プラットフォームを使った攻撃が確認されています。特に注目すべきなのは、「Operation Aurora」として知られる攻撃活動で一連の悪用コードが使われたことです。

Elderwood プラットフォームが初めて確認されたのは 2012 年のことですが、それ以来、最新のゼロデイ悪用コードをいくつも取り入れながら更新が続けられています。2014 年に入ってから最初の 1 カ月だけでも、Elderwood プラットフォームは 3 件のゼロデイ脆弱性の悪用に利用されており、このプラットフォームが依然として手ごわい脅威であることが証明されました。

当初の調査では、Elderwood プラットフォームは単一の攻撃グループによって使われていると思われていましたが、最新の調査結果を踏まえると、複数のグループによって利用されていると考えられます。1 つの供給元がプラットフォームの販売に関与しているか、あるいは大きな 1 つの組織が、その内部の攻撃チームのために一連の悪用コードを開発しているかのいずれかであるという証拠もあります。どちらにしても、今なお活動している最大規模の攻撃グループが、これほど早くゼロデイ悪用コードを利用できる理由を解明する手掛かりになりそうです。

Elderwood を作成したのは誰か
Elderwood プラットフォームのゼロデイ悪用コードを利用している攻撃者の構成については、いくつかの仮説が立てられていますが、シマンテックの調査ではさらに 2 つのシナリオも想定しています。

  • 1 つの上位グループがあって、複数のサブグループから構成されているケース。この場合、各サブグループは特定の業種を標的にするタスクを割り当てられています。それぞれが個別に開発したマルウェアファミリーを使っており、利用しているネットワークインフラも独自のものです。上位グループがゼロデイ悪用コードを入手し、その配布と利用をサブグループ間で調整します。

 elderwood_blog_groups_diagram1.png

図 1. 複数のサブグループを束ねる上位グループを通じてゼロデイ悪用コードが配布される

  • 攻撃グループが、目標も異なる別々の組織であるというケース。この場合、各グループが共通して接触している供給元があり、そこからゼロデイ悪用コードが各グループに同時に配布されます。供給元は、一部の攻撃グループを優遇して、他のグループより数日早くそのグループにゼロデイ悪用コードを渡している可能性もあります。

elderwood_blog_groups_diagram2.png

図 2. 共通する 1 つの供給元から複数のグループにゼロデイ悪用コードが配布される

シマンテックがつかんだ証拠(後述)から、何者かが 1 つの仲介組織に、または複数のグループに直接、Internet Explorer や Adobe Flash のさまざまなゼロデイ悪用コードを供給している可能性が高いと考えられます。これだけでも、攻撃者が確保しているリソースのレベルの大きさがうかがえます。

悪用コードがサードパーティの供給元を通じて販売されている場合、購入するグループはそれを支払えるだけの潤沢な財源を持っていることになります。悪用コードが組織の内部で開発されている場合、グループは技術力の高い個人を何人も雇っていることになります。こうした技術者は、相当額の報酬を受け取っているか、あるいは何か別の理由があって自分自身では公開市場で悪用コードを販売できないかのいずれかです。

Elderwood による顕著な悪用例
2012 年には、Internet Explorer と Adobe Flash に対する複数の悪用コードが Elderwood プラットフォームによって利用されました。以下の脆弱性を含め、数多くの脆弱性が悪用されています。

最近も、以下の脆弱性に対する新しいゼロデイ悪用コードが利用されていることを確認していますが、その多くは以前に利用された悪用コードと類似しています。

Elderwood プラットフォームで利用されている悪用コードはこれらに限りませんが、後述するように、これこそ Elderwood 攻撃活動間のつながりを示す証拠なのです。それでは、過去数年間にわたって Elderwood プラットフォームを使ってきた代表的な攻撃グループについて見てみましょう。

Elderwood プラットフォームを使ってきたのは誰か
最近確認された、Elderwood プラットフォームを使う目立った攻撃活動を時系列に並べてみます。

figure3_update_LOB.png

図 3. 最近ゼロデイ脆弱性の悪用が確認された活動の時系列

以下の攻撃グループの多くは、Elderwood プラットフォームだけを使っているわけではありませんが、この数年間の主な活動では一貫して Elderwood を使っていることが確認されています。Elderwood プラットフォームで利用されていることが判明している脆弱性を悪用しているだけでなく、「Microsoft Internet Explorer の ‘CDwnBindInfo’ に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2012-4792)や 「Microsoft Internet Explorer に存在するリモートコード実行の脆弱性」(CVE-2014-1776)など、その他の欠陥も悪用しています。

攻撃グループ 標的 関連する攻撃活動 悪用されている脆弱性 使われているマルウェア
Hidden Lynx 軍需産業 Operation Snowman CVE-2014-0322(Internet Explorer) Backdoor.ZXshell
Vidgrab

日本のユーザー

ウイグルの反体制派

 

CVE-2014-0322(Internet Explorer)

CVE-2014-0502(Adobe Flash)

Backdoor.Vidgrab

Backdoor.Jolob

Linfo/Icefog 製造業 Icefog

CVE-2012-0779(Adobe Flash)

CVE-2014-0324(Internet Explorer)

Backdoor.Linfo

Backdoor.Hormesu

Sakurel 航空エンジンメーカー  

CVE-2014-0322(Internet Explorer)

CVE-2012-4792(Internet Explorer)

CVE-2014-0502(Adobe Flash)

CVE-2014-1776(Internet Explorer)

Trojan.Sakurel

表 1. Elderwood プラットフォームを使っている攻撃グループ

Elderwood との関連性
攻撃グループがその活動を通じてこれらの脆弱性を悪用していたことに加え、悪用コードのインフラにも関連性があるようです。

最近確認された Internet Explorer の脆弱性、CVE-2014-0322 と CVE-2014-0324 に対する 2 つのゼロデイ悪用コードは多くの機能を共有しており、シェルコードもそのひとつです。どちらも、イメージから取得したマルウェアを復号し、%Temp% フォルダ内の .txt 拡張子のファイルに復号後のマルウェアを書き込むことができます。

そのほか、CVE-2014-0502 と CVE-2014-0322 に対する悪用コードは、同じサイトをホストとして利用していました。さらに、CVE-2014-0324 に対する悪用コードが Backdoor.Linfo の投下に使われていたことを示唆する痕跡もあります。同じマルウェアは、2012 年に CVE-2012-0779 に対する悪用コードによって投下されていました。

これらの攻撃グループが Elderwood プラットフォームを利用している状況の全体像を以下の図に示します。

ewood4_large_update_LOB.png

図 4. 過去と現在におけるゼロデイ悪用コードの相関図

結論
ゼロデイ悪用コードの使用と、中心的な 1 つのグループまたは組織との関係を断定することはできません。ひとたび攻撃に利用されたゼロデイ悪用コードは、リバースエンジニアリングもコピーも、他の攻撃への転用も可能だからです。Elderwood プラットフォームは、悪用コードがコンパクトにパッケージ化され、ペイロードと分離されているため、リバースエンジニアリングが特に容易です。Elderwood の悪用コード実装は、攻撃者が使いやすいように、意図的にこのような手法で作成されたものかもしれません。

とは言え、最近確認された攻撃活動では、Internet Explorer や Flash のゼロデイ悪用コードを利用して同じマルウェアファミリーを拡散するという、攻撃グループの共通パターンが繰り返されています。それだけでなく、これらの悪用コードは実装方法にも多くの類似点が見られます。こうした証拠から、悪用コードが単にリバースエンジニアリングされているだけの場合と比べて、はるかに緊密なコミュニケーションが攻撃グループ間で交わされているものと考えられます。

Elderwood を作成しているのがサードパーティの供給元であるにせよ、自前のチームを抱えた大きな組織であるにせよ、Elderwood のゼロデイ悪用コードを利用している各グループは潤沢なリソースと十分な動機を持っています。標的となりうる企業や組織にとって深刻な脅威であることは間違いありません。

シマンテック製品をお使いのお客様は、ウイルス対策、侵入防止システム、振る舞い検知やレピュテーション(評価)技術によって、今回のブログで取り上げたさまざまなマルウェアファミリーから保護されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

How the Elderwood Platform is Fueling 2014’s Zero-Day Attacks

Back in 2012, Symantec researched the Elderwood platform, which was used in spear-phishing and watering-hole attacks against a wide variety of industries. The Elderwood platform essentially consists of a set of exploits that have been engineered and packaged in a “consumer-friendly” way. This allows non-technical attackers to easily use zero-day exploits against their targets.

We observed attackers using the Elderwood platform against a large number of sectors, including defense, defense supply chain manufacturing, IT, and human rights. Most notably, attackers used this set of exploits in a high-profile campaign known as Operation Aurora.

The Elderwood platform may have first been documented in 2012, but it has continuously been updated with some of the latest zero-day exploits. Within just one month at the start of 2014, the Elderwood platform was used to exploit three zero-day vulnerabilities, proving that this exploit set is still a formidable threat.

Initially, our research suggested that the Elderwood platform was being used by a single attack group. Our latest research leads us to believe that several groups could be using this platform. The evidence suggests that either one distributor is responsible for selling the platform or one major organization developed the exploit set for its in-house attack teams. Either scenario could shed light on how some of the biggest attack groups in action today get such early access to zero-day exploits.

Who could have created Elderwood?
There are several theories which may describe the makeup of the attackers utilizing the Elderwood platform’s zero-day exploits. Our research suggests that there are two more probable scenarios.

  • There is a single parent organization broken into a number of subgroups. Each subgroup is tasked with targeting a particular industry. They each use individually developed malware families and operate their own network infrastructure. The parent organization obtains the zero-day exploits and coordinates the distribution and utilization of these exploits amongst the subgroups.

 elderwood_blog_groups_diagram1.png

Figure 1. Zero-day exploits distributed throughout an organization consisting of multiple teams

  • The attack groups are separate entities with their own agendas. These groups all have contact with a single zero-day exploit supplier which delivers the exploits to the groups at the same time. The supplier may give certain groups preferential treatment, offering zero-day exploits to some attack groups a few days before others. 

elderwood_blog_groups_diagram2.png

Figure 2. Zero-day exploits distributed to different groups but by a common supplier

Based on our evidence, which we will discuss in this blog, it seems likely that someone is supplying various Internet Explorer and Adobe Flash zero-day exploits to an intermediate organization or directly to the various groups. This alone is a sign of the level of resources available to these attackers. 

If the exploits are being purchased from a third party distributor, the purchasing organization must have substantial financial resources to pay for the exploits. If the exploits are developed in-house, this would indicate that the organization has hired several highly technical individuals to do so. These employees are either being well compensated for their work or have some other motivating factor that prevents them from selling exploits on the open market themselves.

Elderwood’s notable exploits
In 2012, several Internet Explorer and Adobe Flash exploits were part of the Elderwood platform, which took advantage of a number of vulnerabilities, including the following bugs.

Recently, we have seen the platform use new zero-day exploits against the following vulnerabilities, many of which are similar to the previously used exploits.

These exploits are not the only ones used in the platform, but as we will discuss, they show a connection between Elderwood campaigns. Let’s take a look at some of the major attack groups who have used the Elderwood platform over the past few years.

Who has been using the Elderwood platform?
The following is a timeline of the most recent high-profile use of the Elderwood platform. 

figure3_update_LOB.png

Figure 3. Timeline of known activities of recent zero-day exploits

While many of the following attack groups do not use the Elderwood platform exclusively, they have been observed using it throughout many of their major campaigns over a number of years. Along with taking advantage of vulnerabilities that are known to be covered in the Elderwood platform, the attackers also exploited other flaws, such as the Microsoft Internet Explorer ‘CDwnBindInfo’ Use-After-Free Remote Code Execution Vulnerability (CVE-2012-4792) and the Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776).

Attack group Targets Associated operation names Exploited vulnerabilities Malware used
Hidden Lynx Defense industry Operation Snowman CVE-2014-0322 (Internet Explorer) Backdoor.ZXshell
Vidgrab

Japanese users

Uyghur dissidents

 

CVE-2014-0322 (Internet Explorer)

CVE-2014-0502 (Adobe Flash)

Backdoor.Vidgrab

Backdoor.Jolob

Linfo/Icefog Manufacturing firms Icefog

CVE-2012-0779 (Adobe Flash)

CVE-2014-0324 (Internet Explorer)

Backdoor.Linfo

Backdoor.Hormesu

Sakurel Aerospace engine manufacturers  

CVE-2014-0322 (Internet Explorer)

CVE-2012-4792 (Internet Explorer)

CVE-2014-0502 (Adobe Flash)

CVE-2014-1776 (Internet Explorer)

Trojan.Sakurel

Table 1. The attack groups using the Elderwood platform

The Elderwood connection
Along with the attack groups’ use of these exploits through their campaigns, the exploits’ infrastructure also appear to be linked.

The two recent Internet Explorer zero-day exploits for CVE-2014-0322 and CVE-2014-0324 share a number of features, including common shellcode. They both can also decrypt malware retrieved from images and write the decrypted malware to a file with a “.txt” extension in the %Temp% folder. 

Along with this, exploits for both CVE-2014-0502 and CVE-2014-0322 were hosted on the same site. Finally, there are indications that suggest that a CVE-2014-0324 exploit was used to drop Backdoor.Linfo. The same malware was dropped in 2012 with the CVE-2012-0779 exploit. 

The following image gives an overall look at how these attack groups’ use of the Elderwood platform are connected.

ewood4_large_update_LOB.png

Figure 4. Some of the connections between recent and previous zero-day exploits

Conclusion
It’s difficult to definitively link the use of zero-day exploits back to one central group or organization. Once a zero-day exploit has been deployed in an attack, it can be reverse-engineered, copied and re-purposed for other attackers to use. The Elderwood platform is particularly easy to reverse-engineer, as its exploits are neatly packaged and separated from the payload. Elderwood’s exploit implementations may have been purposely created in this manner to make it easier for its customers to use. 

However, in these observed attack campaigns, there is a repeating pattern of attack groups using Internet Explorer and Flash zero-day exploits to deliver the same malware families. Not only that, but these exploits share many similarities in their implementation. This evidence indicates that there is a greater level of communication between attack groups than if the exploits were simply being reverse-engineered. 

Whether Elderwood’s creator is a third-party supplier or a major organization equipping its own teams, the various groups using ‘Elderwood’ zero-day exploits are well resourced and motivated. They present a serious threat to potential targets.

Symantec protects customers from the various malware families listed in this blog through our antivirus, IPS, behavioral and reputation technologies.

2014? ???? ??? Elderwood ??? ??

      No Comments on 2014? ???? ??? Elderwood ??? ??

지난 2012년, 시만텍은 Elderwood 플랫폼에 주목한 바 있습니다. 당시 이 플랫폼은 각종 산업 분야를 노리는 스피어피싱 및 워터링홀 공격에 사용되고 있었습니다. Elderwood 플랫폼은 “소비자 친화적”으로 설계되고 패키지화된 다양한 익스플로잇의 모음입니다. 따라서 기술적 배경이 없는 공격자도 편리하게 이 플랫폼을 이용하여 원하는 표적을 대상으로 제로데이 익스플로잇을 구사할 수 있습니다.

시만텍은 국방, 군수품 제조, IT, 인권 운동 등 다양한 분야가 Elderwood 플랫폼 기반 공격의 대상이 되고 있음을 확인했습니다. 특히 Operation Aurora와 같이 이목이 집중된 공격 작전에서 이러한 익스플로잇 모음이 사용된 바 있습니다.

Elderwood 플랫폼은 대략 2012년부터 문서화되기 시작했지만, 그 이후에도 꾸준히 업데이트되면서 최신 제로데이 익스플로잇이 추가되었습니다. Elderwood 플랫폼은 2014년이 시작된 지 채 한 달도 지나지 않아 3건의 제로데이 취약점에 대한 익스플로잇 공격에 사용되면서 건재함을 과시했습니다.

시만텍의 조사에 따르면, 원래 Elderwood 플랫폼은 단일 공격 그룹에서 사용되었습니다. 하지만 최근 조사 결과는 여러 그룹에서 이 플랫폼을 사용하고 있을 가능성을 시사합니다. 증거를 검토한 바로는, 단일 유포자가 플랫폼 판매를 담당하거나 한 주요 조직에서 자체 공격 팀들을 위해 해당 익스플로잇 모음을 개발한 것으로 보입니다. 이 두 시나리오 모두 현재 활동 중인 최대 규모의 공격 집단들이 일찍부터 제로데이 익스플로잇을 사용하게 된 경위를 밝히는 데 중요한 단서가 될 수 있습니다.

누가 Elderwood 개발했을까?

Elderwood 플랫폼의 제로데이 익스플로잇을 활용하는 공격자의 실체에 대해서는 몇 가지 이론이 있습니다. 시만텍이 분석한 결과, 그중 개연성이 높은 두 가지 시나리오는 아래와 같습니다.

  • 하나의 모체 조직으로부터 여러 하위 그룹이 갈라져 나왔습니다. 하위 그룹은 각각 특정 업종을 공격할 임무를 맡고 있습니다. 이들은 각자 개발한 악성 코드군을 사용하며 자체 네트워크 인프라스트럭처를 가동합니다. 모체 조직이 제로데이 익스플로잇을 보유하고 있으며 하위 그룹에 이러한 익스플로잇을 배포하고 사용 현황을 감독합니다.

 elderwood_blog_groups_diagram1.png

그림 1. 여러 팀으로 구성된 단일 조직 전반에 배포되는 제로데이 익스플로잇

  • 공격 집단은 각자 나름의 목적을 가진 개별 독립체입니다. 이러한 그룹 모두 하나의 제로데이 익스플로잇 공급자와 관계를 맺고 있으며, 이 공급자가 동시에 여러 그룹에 익스플로잇을 보급합니다. 공급자는 일부 그룹에 며칠 먼저 제로데이 익스플로잇을 제공하는 등의 특혜를 줄 수도 있습니다.

elderwood_blog_groups_diagram2.png

그림 2. 단일 공급자가 여러 그룹에 배포하는 제로데이 익스플로잇

이 블로그에서 자세히 살펴보겠지만, 시만텍이 수집한 증거로 미루어볼 때 누군가 중개 조직을 통해 혹은 여러 집단에 직접적으로 다양한 Internet Explorer 및 Adobe Flash 제로데이 익스플로잇을 공급하는 것으로 보입니다. 이것만으로도 이러한 공격자들의 가용 자원 수준을 가늠해볼 수 있습니다.

또한 외부 배포자로부터 익스플로잇을 구매할 수 있다면 해당 구매 조직은 그러한 비용을 지불할 만한 상당한 자금력을 보유하고 있을 것입니다. 만약 자체적으로 익스플로잇을 개발했다면 해당 조직에 뛰어난 기술력을 갖춘 인력이 있음을 의미합니다. 이들은 이미 넉넉한 보수를 받고 있거나 아니면 다른 동기 요인이 있어 직접 공개 시장에 나서서 익스플로잇을 판매하지 않는 것으로 보입니다.

Elderwood 대표적인 익스플로잇

2012년에는 Elderwood 플랫폼에 여러 Internet Explorer 및 Adobe Flash 익스플로잇이 포함되었는데, 이들은 아래와 같은 버그를 비롯하여 각종 취약점을 이용했습니다.

최근 시만텍은 이 플랫폼에서 아래와 같은 취약점을 노리는 새로운 제로데이 익스플로잇이 등장했음을 확인했습니다. 그중 상당수는 기존의 익스플로잇과 유사합니다.

이러한 잇스플로잇은 Elderwood 플랫폼에서 사용될 뿐 아니라 여러 Elderwood 캠페인 간의 연관성을 보여주는 단서이기도 합니다. 이에 대해서는 좀더 자세히 설명하겠습니다. 이제 지난 몇 년 동안 등장했던 Elderwood 플랫폼을 사용한 몇몇 주요 공격 집단에 대해 알아보겠습니다.

누가 Elderwood 플랫폼을 사용해 왔는가?
아래 도표는 최근 Elderwood 플랫폼이 사용되었던 유명 사례를 시간순으로 정리한 것입니다. 

figure3_update_LOB.png

그림 3. 최근 대표적인 제로데이 익스플로잇 공격의 타임라인

다음 공격 집단 중 상당수는 Elderwood 플랫폼에만 의존하지는 않지만 오랫동안 대부분의 주요 작전에서 광범위하게 이 플랫폼을 활용해 온 것으로 드러났습니다. 공격자들은 Elderwood 플랫폼에서 공략하는 것으로 알려진 취약점과 함께 Microsoft Internet Explorer ‘CDwnBindInfo’ Use-After-Free 원격 코드 실행 취약점(CVE-2012-4792), Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)과 같은 허점도 이용했습니다.

공격 집단 대상 관련
작전명
익스플로잇의
표적이 된 취약점
사용된 악성 코드
Hidden Lynx 방위
산업체
Operation Snowman CVE-2014-0322 (Internet Explorer) Backdoor.ZXshell
Vidgrab

일본의
사용자

위구르
반체제
인사

 

CVE-2014-0322 (Internet Explorer)

CVE-2014-0502 (Adobe Flash)

Backdoor.Vidgrab

Backdoor.Jolob

Linfo/Icefog 제조업체 Icefog

CVE-2012-0779 (Adobe Flash)

CVE-2014-0324 (Internet Explorer)

Backdoor.Linfo

Backdoor.Hormesu

Sakurel 항공 엔진
제조업체
 

CVE-2014-0322 (Internet Explorer)

CVE-2012-4792 (Internet Explorer)

CVE-2014-0502 (Adobe Flash)

CVE-2014-1776 (Internet Explorer)

Trojan.Sakurel

1. Elderwood 플랫폼을 사용하는 공격 집단

Elderwood 연결성

위와 같은 공격 집단의 작전에 Elderwood가 사용될 뿐 아니라 해당 익스플로잇 인프라스트럭처도 서로 연결되어 있는 것으로 보입니다.

최근 Internet Explorer의 CVE-2014-0322 및 CVE-2014-0324 취약점을 노렸던 두 익스플로잇 공격은 동일한 셸 코드를 비롯하여 많은 공통점을 가지고 있습니다. 또한 둘 다 이미지에서 가져온 악성 코드를 해독한 다음 해독한 악성 코드를 %Temp% 폴더 경로에 “.txt” 확장자 파일 형태로 기록할 수 있습니다.

뿐만 아니라 CVE-2014-0502 및 CVE-2014-0322 취약점에 대한 익스플로잇 모두 동일한 사이트에서 호스팅되었습니다. 그리고 CVE-2014-0324 익스플로잇이 Backdoor.Linfo 유포에 사용된 징후가 있습니다. 이 악성 코드는 2012년에도 CVE-2012-0779 익스플로잇을 통해 유포된 적이 있습니다.

아래 이미지는 이러한 공격 집단의 Elderwood 플랫폼 사용 연관성을 종합적으로 정리한 것입니다.

ewood4_large_update_LOB.png

그림 4. 최근 및 과거 제로데이 익스플로잇에서 나타난 몇 가지 연관성

결론

제로데이 익스플로잇 사용이 특정 핵심 집단 또는 조직과 연결된다고 단정짓기는 어렵습니다. 제로데이 익스플로잇이 공격에 사용되었다면 이를 리버스 엔지니어링하고 복사하여 다른 공격에 재활용하는 것이 가능합니다. 특히 Elderwood 플랫폼은 익스플로잇이 깔끔하게 패키지화되고 페이로드와 분리되어 있기 때문에 손쉽게 리버스 엔지니어링할 수 있습니다. Elderwood 익스플로잇은 고객의 사용 편의성을 높이기 위해 의도적으로 그와 같이 구현되었을 가능성이 있습니다.

하지만 관찰된 공격 작전에서 확인된 것처럼, 공격 집단들이 Internet Explorer 및 Flash 제로데이 익스플로잇을 구사하면서 동일한 악성 코드군을 배포하는 패턴이 반복적으로 나타납니다. 그뿐 아니라 이러한 익스플로잇은 구현 측면에서도 유사한 점이 많습니다. 증거에 따르면, 공격 집단들 간에 단순한 익스플로잇 리버스 엔지니어링에 국한되지 않은 보다 적극적인 수준의 교감이 이루어지는 것으로 보입니다.

Elderwood 개발자가 제3의 공급자이든지 자체 팀을 운영하는 대형 조직이든지 상관없이 ‘Elderwood’의 제로데이 익스플로잇을 이용하는 여러 집단은 확실한 자원과 동기를 보유하고 있습니다. 이들은 잠재적 표적에게 심각한 위협이 됩니다.

시만텍은 안티바이러스, IPS, 행동 및 평판 기술을 활용하여 이 블로그에 언급된 다양한 악성 코드군으로부터 고객을 보호하고 있습니다.

Adobe Flash ????????????????????????????

      No Comments on Adobe Flash ????????????????????????????

ゼロデイ脆弱性を悪用する水飲み場型攻撃が、さらに広がりつつあります。シマンテックは先週、Internet Explorer 10 のゼロデイ脆弱性が水飲み場型攻撃に悪用されていることをお伝えしましたが、それからちょうど 1 週間後、今度は Adobe Flash Player と Adobe AIR に存在するリモートコード実行の脆弱性(CVE-2014-0502)が、やはり水飲み場型攻撃で悪用されていることが確認されました。この新しい攻撃は、さまざまなメディアで「Operation GreedyWonk」と呼ばれており、3 つの NPO 団体の Web サイトを標的にしていると報じられています。シマンテックの遠隔測定によると、新しいゼロデイ脆弱性を悪用するこの水飲み場型攻撃では、ほかにも多くのサイトが標的になっていることが判明しました。
 

adobe-zero-day.png

図 1. Adobe Flash のゼロデイ脆弱性を悪用する水飲み場型攻撃
 

攻撃の手口

今回の攻撃に使われているのも、水飲み場型攻撃として知られる手法です。被害者がアクセスした Web サイトは、標的を別の Web サイト(giftserv.hopto.org)にリダイレクトするために攻撃者によって侵害され、iframe が仕込まれています。リダイレクト先のサイトでは悪質な index.php ファイル(Trojan.Malscript)が読み込まれ、このファイルによって標的のシステムが 32 ビットか 64 ビットかが判定されます。この判定結果に応じて、攻撃者のサーバーにホストされている 32 ビットまたは 64 ビットのいずれかのフォルダから、悪質な index.html ファイル(これも Trojan.Malscript として検出されます)と追加コンポーネントがダウンロードされます。悪質な index.html は次に cc.swf という Adobe Flash ファイル(Trojan.Swifi)を読み込み、これにゼロデイ脆弱性が存在します。悪用に成功すると、暗号化されたシェルコードを含む logo.gif という画像ファイルがダウンロードされ、このシェルコードによって悪質なペイロード server.exe(Backdoor.Jolob)がダウンロードされ実行されます。
 

今回の攻撃に対する防止策と緩和策

インストールされている Adobe 製品を最新バージョンに更新して、この脆弱性に緊急に対処することをお勧めします。ソフトウェアのアップグレード方法について詳しくは、Adobe Security Bulletin を参照してください。

シマンテック製品をお使いのお客様は、以下の検出定義によって今回のゼロデイ攻撃から保護されています。

ウイルス対策

侵入防止シグネチャ

また、いつものことですが、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
 

衰えを見せない水飲み場型攻撃

水飲み場型攻撃が、特定の個人を標的にした攻撃者の間で多用され続けていることは、今回の事例からも明らかです。ゼロデイ脆弱性が次々と悪用されていることを考えると、攻撃者が使える武器は無尽蔵とも言えます。複数の Web サイトで Adobe Flash のこの脆弱性が確認されていますが、送信されているペイロードはそのすべてで異なります。今回のゼロデイ悪用コードが多くの攻撃者に販売されている可能性や、あるいは単独の攻撃者が複数の攻撃キャンペーンを仕掛けている可能性があります。シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。
 

watering-hole-attacks.png

図 2. 水飲み場型攻撃の手口

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

New Flash Zero-Day Linked to Yet More Watering Hole Attacks

Watering hole attacks using zero-day vulnerabilities are becoming more common. Last week we announced an Internet Explorer 10 zero-day being used in a watering hole attack and today, just one week later we have an Adobe Flash zero-day, Adobe Flash Player and AIR CVE-2014-0502 Remote Code Execution Vulnerability (CVE-2014-0502), also being used in a watering hole attack. This new attack has been dubbed “Operation GreedyWonk” in various media and is reported to be targeting the websites of three non-profit institutions. Symantec telemetry shows even more sites being targeted in this watering hole attack using this new zero-day.
 

adobe-zero-day.png

Figure 1. Watering hole attack using Adobe Flash 0-day
 

Anatomy of the attack

This attack technique is known as a watering hole attack. In this case the target visits a compromised website that contains an IFrame inserted by the attackers in order to redirect the target to another website (giftserv.hopto.org). This new site loads a malicious index.php file (Trojan.Malscript) which checks whether the victim is running a 32-bit or 64-bit system. Depending on the results, a malicious index.html file (also Trojan.Malscript) and additional components are also downloaded from either the 32-bit or 64-bit folders hosted on the attacker’s server. The malicious index.html file then loads the cc.swf Adobe Flash file (Trojan.Swifi) containing the zero-day. Once exploited, a logo.gif image file is downloaded containing encrypted shellcode which downloads and executes the malicious server.exe (Backdoor.Jolob) payload.
 

How can I prevent and mitigate against this attack?

Symantec recommends users update their Adobe product installations to the latest versions to address this critical vulnerability. Details of how to upgrade software are available in an Adobe Security Bulletin.

Symantec customers are protected from this zero-day attack with the following detections:

Antivirus

Intrusion Prevention Signatures

  • Web Attack: Malicious SWF Download 22

As always, we also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of any kind.
 

Watering hole attacks remain popular

This latest watering hole attack demonstrates that it remains a popular technique for attackers to target individuals of interest. The use of yet another zero-day indicates the arsenal available to attackers shows no signs of depletion. Multiple websites have been identified using this Adobe Flash zero-day, all with different payloads being delivered. This may be the result of this particular zero-day being sold to a number of different attackers, or possibly that it was used by a single attacker in multiple campaigns. Symantec continues to investigate this attack to ensure that the best possible protection is in place.
 

watering-hole-attacks.png

Figure 2. Anatomy of a watering hole attack

????????????? Internet Explorer 10 ???????????

      No Comments on ????????????? Internet Explorer 10 ???????????

先日のブログで、Internet Explorer 10 に影響するゼロデイ脆弱性の悪用の可能性が確認されたという報告について調査していることをお伝えしましたが、この新しいゼロデイ脆弱性「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)を悪用する攻撃について詳細が判明しました。

ie10_0day-diagram1.png

図. IE 10 のゼロデイ脆弱性を悪用する水飲み場型攻撃

攻撃の手口

この水飲み場型攻撃で標的になったのは、vfw.org(海外戦争復員兵協会)の Web サイトです。攻撃の活動中にこのサイトにアクセスすると、攻撃者によって挿入された iframe により、危殆化した第 2 のページ(aliststatus.com でホストされています)がバックグラウンドで読み込まれます。iframe である img.html ファイルが tope.swf という悪質な Flash ファイルを読み込み、そこで Internet Explorer 10 の脆弱性が悪用されます。シマンテックは、悪質な iframe を Trojan.Malscript として、また悪質な SWF ファイルを Trojan.Swifi として検出します。

SWF ファイルによって脆弱性が悪用されると、aliststatus.com ドメインから次のダウンロードが実行され、ペイロードの最終段階が開始されます。ここで最初にダウンロードされるのは、erido.jpg という名前の PNG 画像ファイルです(Trojan Horse として検出されます)。この画像ファイルに埋め込まれている複数のバイナリが、SWF ファイルによって実行されるシェルコードによって抽出されます。埋め込まれているバイナリは sqlrenew.txt と stream.exe です。sqlrenew.txt は、その名前とは違い実際には DLL ファイルであり、同じく Trojan Horse として検出されます。stream.exe は Backdoor.Winnti.C として検出されます。

SWF ファイルに含まれるコードが DLL ファイル sqlrenew.txt の読み込みを実行し、この時点で DLL が処理を引き継いで、最終的なペイロードである stream.exe を起動します。このサンプルは、攻撃者が制御する newss.effers.com サーバーへの接続を実行します。

過去の攻撃との関連性

調査を進める過程で明らかになったデータから、今回の攻撃は、シマンテックが Hidden Lynx(謎の山猫)と呼んでいる悪質なグループと関係することが示唆されます。Backdoor.Moudoor を使ったこのグループによる以前の攻撃で確認されたインフラが今回も使われていることが、データに示されています。

今回の攻撃に対する防止策と緩和策

Internet Explorer 10 を使っていないユーザーや、Mac OS 向けのブラウザを使っているユーザーは、この脆弱性の影響を受けません。Windows で Internet Explorer 10 を使っている場合には、別のブラウザを使うか、Microsoft の Enhanced Mitigation Toolkit(EMET)をインストールする、またはブラウザを新しいバージョンにアップグレードするなどの緩和策が考えられます。また、関連するパッチが公開され次第、速やかに適用することもお勧めします。

シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。

ウイルス対策

侵入防止シグネチャ

シマンテックの遠隔測定によると、ペイロードの一部は以下のヒューリスティック検出定義によって各段階で検出されていることも判明しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

New Internet Explorer 10 Zero-Day Discovered in Watering Hole Attack

In an earlier blog, Symantec highlighted that we were investigating reports of a zero-day exploit affecting Internet Explorer 10 in the wild. Now we have further details on the attack leveraging this new zero-day, Microsoft Internet Explorer CVE-2014-0…

2013 ?? 1 ????????????????

      No Comments on 2013 ?? 1 ????????????????

2013 年第 1 四半期には、Oracle Java、Adobe Flash、Adobe Reader、および Microsoft Internet Explorer に影響するゼロデイ脆弱性が悪用されているケースが多数確認されました。このブログでは、2013 年第 1 四半期にマルウェアの拡散に悪用されたこれらのゼロデイ脆弱性について詳しく説明します。
 

Java のゼロデイ脆弱性

t1.png

シマンテックでは 2013 年 1 月に Oracle Java SE の興味深いゼロデイ問題が頻繁に悪用されているのを確認しました。2013 年 1 月 13 日、Oracle 社は Oracle Java Runtime Environment の複数のリモートコード実行の脆弱性(CVE-2013-0422)に関するセキュリティ警告をリリースして、Java SE の複数の脆弱性に対処しました。1 つ目の脆弱性は、JmxMBeanServer クラスのパブリックな getMBeanInstantiator メソッドを使用してプライベートな MBeanInstantiator オブジェクトへの参照を取得した後、findClass メソッドを使用して任意のクラス参照を取得することにより発生します。2 つ目の脆弱性は、sun.reflect.Reflection.getCallerClass メソッドに新しいリフレクション API に関連するフレームをスキップする機能がないことを利用して、java.lang.invoke.MethodHandles.Lookup.checkSecurityManager メソッドによるセキュリティチェックを回避するようにリフレクション API を再帰的に利用することに起因します。

Oracle 社は、CVE-2012-0422 のパッチをリリースした直後に、Oracle Java Runtime Environment のリモートコード実行の脆弱性(CVE-2012-3174)が悪用されて任意のコードが実行されていることを警告しました。具体的には、この問題は MethodHandle 抽象クラスを使用して sun.misc.reflect.Trampoline クラスのメソッドを呼び出したときに発生します。これにより、セキュリティマネージャを回避することが可能になります。

2013 年 2 月 1 日、Oracle 社は Java SE の 50 件の脆弱性に対処する巨大なパッチ更新をリリースしました。この Critical Patch Update(CPU)は当初 2 月 19 日にリリースされる予定でしたが、デスクトップブラウザでの Java Runtime Environment(JRE)に影響を与える、ある脆弱性が実際に悪用されていたことから大幅に繰り上げてリリースされました。この脆弱性の詳細は現時点で不明です。Oracle 社は追加の修正を 5 件含む改訂版の Critical Patch Update(CPU)を 2 月 19 日にリリースし、2013 年 2 月の CPU による修正は合計 55 件になりました。

2013 年 3 月 4 日、Oracle 社は Oracle Java SE のリモートコード実行の脆弱性(CVE-2013-1493)に関する別のセキュリティ警告をリリースしました。この問題は、JVM プロセスでの任意のメモリ読み書きにつながるリモートコード実行の脆弱性に関連します。これにより、攻撃者はメモリを破壊し、セキュリティマネージャコンポーネントを無効にすることができます。
 

Figure1.png

図 1. 信頼されていないアプレットが脆弱性を悪用してセキュリティマネージャを無効にしてシステムリソースにアクセス
 

これらすべての脆弱性の悪用条件は同じです。つまり、認証なしでリモートから悪用して、現在ログインしているユーザーのコンテキストで任意のコードを実行できるということです。攻撃者がこれらの脆弱性を悪用するには、警戒心の弱いユーザーをだまして、悪質なアプレットを含む特別に細工された Web ページにアクセスさせる必要があります。悪用に成功すると、ユーザーのシステムの可用性、完全性、および機密性に影響を与える可能性があります。なお、これらの脆弱性は、サーバーで実行されている Java、スタンドアロンの Java デスクトップアプリケーション、埋め込みの Java アプリケーションには影響を与えません。
 

Adobe Flash Adobe Reader のゼロデイ脆弱性

t2.png

2013 年 2 月 7 日、Adobe 社は、Adobe Flash アプリケーションにも影響する Adobe Flash Player のバッファオーバーフローの脆弱性(CVE-2013-0633)と Adobe Flash Player のリモートメモリ破壊の脆弱性(CVE-2013-0634)に対する修正を含むセキュリティ速報 APSB13-04 をリリースしました。これらの脆弱性は、さまざまな業界を狙ったスピア型フィッシングメールを通じた標的型攻撃で悪用されました。CVE-2013-0633 はリモートバッファオーバーフローの脆弱性であり、CVE-2013-0634 はリモートメモリ破壊の脆弱性です。攻撃者は、これらの脆弱性を悪用して、アプリケーションのコンテキストで任意のコードを実行したり、サービス拒否状態を発生させたりすることができます。実際に検出されたサンプルでは、悪質な Flash(SWF)コンテンツを含む Microsoft Word 文書を電子メールに添付して、それをユーザーに開くように仕向ける手口が使われていました。これらの脆弱性は、特別に細工されたサイトにユーザーを誘導する方法で悪用される可能性もあります。シマンテックでは、これらの脅威を Bloodhound.Flash.19 および Bloodhound.Flash.20 として検出します。

2 月 20 日、Adobe 社は Adobe Reader X に影響を与える Adobe Acrobat および Adobe Reader のリモートコード実行の脆弱性(CVE-2013-0640)と Adobe Acrobat および Adobe Reader のリモートコード実行の脆弱性(CVE-2013-0641)の 2 つの興味深いゼロデイ脆弱性に対処するセキュリティ速報 APSB13-07 をリリースしました。これらの脆弱性に対する悪用は、その時点で最新の Adobe Reader と Adobe Acrobat のバージョン(サンドボックス保護機能を備えたバージョン X およびバージョン XI を含む)にも影響をあたえるものでした。
 

Figure2.png

図 2. CVE-2013-0640 と CVE-2013-0641 の脆弱性を組み合わせてサンドボックスを回避
 

この悪用はきわめて高機能なもので、高度に不明瞭化された JavaScript、ROP のみのシェルコード、多段式のペイロードなど、複数の回避技術を使用しています。この悪用は 2 段階で動作します。最初の段階では、CVE-2013-0640 の脆弱性を悪用し、サンドボックス化されたプロセス内でコードを実行して悪質な DLL ファイルをペイロードとして投下します。次の段階では、このペイロードを使用してブローカープロセスで CVE-2013-0641 の脆弱性を悪用し、サンドボックス保護を回避してマルウェアを投下します。シマンテックでは、悪質な PDF ファイルを Trojan.Pidief として、投下される 2 つの DLL ファイルを Trojan.Swaylib としてそれぞれ検出します。

2013 年 2 月 26 日、Adobe 社の Product Security Incident Response Team(PSIRT)は、Adobe Flash Player 用の新しいセキュリティ更新を公表しました。2 月だけで 3 度目のパッチです。最新のセキュリティ速報 APSB13-08 では、Flash の 3 つの脆弱性に対処していますが、そのうち 2 つは実際に悪用されています。これらの脆弱性は、悪質な Flash(SWF)コンテンツを含むサイトにアクセスするよう仕向ける標的型攻撃で利用されました。Adobe Flash Player の不特定のセキュリティ脆弱性(CVE-2013-0643)と Adobe Flash Player のリモートコード実行の脆弱性(CVE-2013-0648)を悪用する攻撃は、Mozilla Firefox ブラウザを狙うように設計されていました。具体的には、CVE-2013-0648 の脆弱性は ExternalInterface ActionScript 機能に関連し、CVE-2013-0643 の脆弱性は Flash Player の Firefox サンドボックスのアクセス許可の問題に起因します。
 

Microsoft Internet Explorer の脆弱性

t3.png

2012 年 12 月 27 日、Internet Explorer の新しいゼロデイ脆弱性が実際に悪用されているのが確認されました。これは 2013 年のゼロデイ脆弱性ではありませんが、2013 年第 1 四半期にも引き続き悪用されています。2013 年 1 月 14 日、Microsoft 社はこの問題に対処するセキュリティ情報をリリースしました。この脆弱性は、mshtml.dll ファイルで CButton オブジェクトを処理するときの解放後使用エラーに起因します。水飲み場型攻撃の一環として、一部の有名な Web サイトが悪質なコードをホストさせる目的で改ざんされ、そういった Web サイトにユーザーがアクセスすると、コンピュータがマルウェアに感染し、攻撃者が貴重な機密情報を盗み出すことが可能になります。シマンテックでは、水飲み場型攻撃に関する調査文書(『The Elderwood Project』)を以前に公開しており、2009 年以降に確認された標的、増加傾向、攻撃プラットフォームについて詳しく説明しています。

2013 年 3 月 16 日 には Microsoft Internet Explorer の解放後使用のリモートコード実行の脆弱性(CVE-2013-1288)が悪用されているのを確認しました。この問題は、すでに解放され後で再利用される CParaElement オブジェクトを処理するときに発生し、それによって脆弱性を引き起こします。この問題は Microsoft 社によって 2013 年 3 月 12 日にパッチが公開済みです。マルウェア作成者にとって、新しいゼロデイ脆弱性を発見するには費用も時間もかかります。そのため、攻撃者はパッチのリバースエンジニアリングによって脆弱性を理解し、悪質なコードを作成したと考えられます。ほとんどのシステムにはすでにパッチが適用されていたはずですが、パッチ公開後の数日間は攻撃者が狙えるパッチ未適用のシステムが多数存在していた可能性があります。
 

まとめ

合計すると、シマンテックでは 2013 年の最初の 3 カ月間で、Oracle Java、Adobe Flash、Adobe Reader、およびMicrosoft Internet Explorer に影響する 11 件ものゼロデイ脆弱性が悪用されていたことを確認しています。このことは、ゼロデイ脆弱性の発見と悪用が増加していることを示しています。また、これらの脆弱性は広く普及しているアプリケーションで見つかっており、被害が大きくなる可能性があります。これらの脆弱性のほとんどは、悪質なコードをホストしているサイトにアクセスするようユーザーを誘導することにより、インターネット上で悪用することが可能です。さらに、攻撃者は悪用の達成を阻む制限を回避するために、アプリケーションのサンドボックス保護機能の中にまで入り込んで脆弱性を見つけ出し始めました。こうした脆弱性のいくつかは、闇市場で販売されているさまざまな悪用ツールキットで利用されています。

シマンテックでは、以下の基本的なセキュリティ対策にを講じることをお勧めします。

  • すべてのアプリケーションに最新のセキュリティパッチを確実に適用する。ゼロデイ攻撃をパッチで防ぐことはできませんが、すでに公表されている脆弱性から保護することは可能です。
  • ウイルス対策ソフトウェアと IPS の定義を最新の状態に保つ。
  • 怪しいサイトにはアクセスしない。
  • 信頼できない送信元から提供されたファイルは開かない。
  • 実行不可能でランダムにマップされるメモリ領域によって攻撃者が脆弱性を悪用できないようにするなど、セキュリティを何重にも実装する。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

2013 First Quarter Zero-Day Vulnerabilities

In the first quarter of 2013, we spotted quite a few zero-day vulnerabilities affecting Oracle Java, Adobe Flash, Adobe Reader, and Microsoft Internet Explorer being exploited in the wild. This blog discusses the details of these zero-days exploited to spread malware in the first quarter of 2013.
 

Java zero-day vulnerabilities

t1.png

During the month of January 2013, we saw some interesting Oracle Java SE zero-day issues being actively exploited in the wild. On January 13, 2013, Oracle released a security alert for Oracle Java Runtime Environment Multiple Remote Code Execution Vulnerabilities (CVE-2013-0422) to address multiple vulnerabilities in Java SE. The first vulnerability occurs in the way the public “getMBeanInstantiator” method in the “JmxMBeanServer” class is used to obtain a reference to a private “MBeanInstantiator” object, and then retrieving arbitrary Class references using the “findClass” method. The second vulnerability occurs because of using the Reflection API with recursion in a way that bypasses a security check by the “java.lang.invoke.MethodHandles.Lookup.checkSecurityManager” method due to the inability of the “sun.reflect.Reflection.getCallerClass” method to skip frames related to the new reflection API.

Immediately, after patching CVE-2012-0422, Oracle alerted the public about Oracle Java Runtime Environment Remote Code Execution Vulnerability (CVE-2012-3174) being exploited in wild to execute arbitrary code. Specifically, the issue occurs when the “MethodHandle” abstract class is used to invoke a method in the “sun.misc.reflect.Trampoline” class. This can allow the Security Manager to be bypassed.

On February 1, 2013, Oracle released a massive patch update for Java SE addressing 50 vulnerabilities. The Critical Patch Update (CPU) was originally scheduled for February 19, however it was released well in advance because of the exploitation in the wild of one of the vulnerabilities affecting the Java Runtime Environment (JRE) in desktop browsers. The details about this vulnerability are currently unknown. On February 19, Oracle released an updated Critical Patch Update (CPU) with an additional five fixes, bringing the total of fixes in the February 2013 CPU to 55.

On March 4, 2013, Oracle released yet another security alert about Oracle Java SE Remote Code Execution Vulnerability (CVE-2013-1493). This issue is prone to a remote code execution vulnerability that leads to arbitrary memory read and writes in the JVM process. This allows attackers to corrupt the memory and disable the Security Manager component.
 

Figure1.png

Figure 1. Untrusted Applet exploits a vulnerability to disable the Security Manager and access system resources
 

The exploit conditions for all these vulnerabilities are the same i.e. they are remotely exploitable, without authentication, to execute arbitrary code in the context of the currently logged-in user. To successfully exploit the vulnerabilities, an attacker must entice an unsuspecting user into visiting a specially crafted webpage that contains a malicious applet. Successful exploits can impact the availability, integrity, and confidentiality of a user’s system. Please note that these vulnerabilities do not affect Java running on servers, standalone Java desktop applications, or embedded Java applications.
 

Adobe Flash and Adobe Reader zero-day vulnerabilities

t2.png

On February 7, 2013, Adobe released a security bulletin, APSB13-04, that included fixes for Adobe Flash Player Buffer Overflow Vulnerability (CVE-2013-0633) and Adobe Flash Player Remote Memory Corruption Vulnerability (CVE-2013-0634) which also affected the Adobe Flash application. These vulnerabilities were exploited in targeted attacks through spear phishing email messages targeting numerous industries. CVE-2013-0633 is a remote buffer-overflow vulnerability and CVE-2013-0634 is a remote memory-corruption vulnerability. An attacker can exploit these issues and execute arbitrary code in the context of the application or cause denial-of-service conditions. The samples discovered in-the-wild were delivered by tricking users into opening a Microsoft Word document sent as an email attachment that contains malicious Flash (SWF) content. These issues can also be exploited by enticing a user to visit a specially crafted site. Symantec detects these threats as Bloodhound.Flash.19 and Bloodhound.Flash.20.

On February 20, Adobe released a security bulletin, APSB13-07, that contained fixes for two interesting zero-day vulnerabilities, Adobe Acrobat And Reader Remote Code Execution Vulnerability (CVE-2013-0640) and Adobe Acrobat And Reader Remote Code Execution Vulnerability (CVE-2013-0641), affecting Adobe Reader X. The exploit for these issues worked in the latest versions of Adobe Reader and Adobe Acrobat that were available at the time, including versions X and XI, which both have a sandbox protection feature.
 

Figure2.png

Figure 2. CVE-2013-0640 and CVE-2013-0641 vulnerabilities combine to bypass sandbox
 

The exploit was highly sophisticated and contained multiple evasion techniques, including heavily obfuscated JavaScript, ROP-only shellcode, and a multi-staged payload. The exploit worked in two stages. The first stage exploited the first vulnerability to have a code execution inside the sandboxed process in order to drop a malicious DLL file as the payload. The second stage used this payload to exploit the second vulnerability in a broker process and bypass the sandbox protection to drop the malware. Symantec detects the malicious PDF file as Trojan.Pidief and the two dropped DLL files as Trojan.Swaylib.

On February 26, 2013, the Adobe Product Security Incident Response Team (PSIRT) announced the availability of new security updates for Adobe Flash Player. This was the third time in February that they patched their code. The latest security bulletin, APSB13-08, addressed three Flash vulnerabilities, two of which were exploited in wild. These issues were used in targeted attacks that trick a user into visiting a site that contains malicious Flash (SWF) content. The exploits used for Adobe Flash Player Unspecified Security Vulnerability (CVE-2013-0643) and Adobe Flash Player Remote Code Execution Vulnerability (CVE-2013-0648) were designed to target the Mozilla Firefox browser. Specifically, the issue related to CVE-2013-0648 exists in the “ExternalInterface ActionScript” feature and CVE-2013-0643 exists because of a permissions issue with the Flash Player Firefox sandbox.
 

Microsoft Internet Explorer vulnerability

t3.png

On December 27, 2012, a new Internet Explorer zero-day vulnerability was discovered being exploited in wild. Although this is not a 2013 zero-day, the exploitation of this issue continued into the first quarter of 2013. On January 14, 2013, Microsoft released a security bulletin containing fixes for this issue. The vulnerability occurred because of a user-after-free error when handling the “CButton” object in the mshtml.dll file. Certain popular websites were compromised to host the exploit as a part of a watering hole style attack. When users visited the compromised website, their computers were infected with malware, allowing attackers to extract valuable and sensitive information. Symantec had earlier published a research document surrounding watering hole attacks (The Elderwood Project) detailing targets, growing trends, and attack platforms that have been seen since 2009.

On March 16, 2013, we saw Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2013-1288) being exploited in wild. The issue occurred when handling the “CParaElement” object that was already freed and reused later and thus triggering the vulnerability. The issue was already patched by Microsoft on March 12, 2013. Discovering new zero-days can be a costly and time consuming business for malware authors. So it is speculated that the attackers may have reverse-engineered the patches to understand this vulnerability and craft an exploit. Though most systems would have already been patched, there would still be many unpatched systems during the first few days that attackers can compromise.
 

Conclusion

In total, we observed 11 zero-day vulnerabilities exploited in the first three months of 2013 affecting Oracle Java, Adobe Flash, Adobe Reader, and Microsoft Internet Explorer, which is quite high. This shows an increase in the finding and exploiting of zero-days. Plus the issues were discovered in popular applications allowing for maximum damage. Most of these flaws can be exploited over the Internet by enticing users to visit a site hosting the exploit. We also observed the attackers have started digging deeper to find vulnerabilities in the sandbox protection features of applications in order to bypass the restrictions for complete exploitation. A number of these flaws are used in different exploit kits and sold on the underground market.

Symantec recommends users to follow these best security practices:

  • Ensure all applications are up to date with the latest security patches. Even though a zero-day exploit cannot be patched, the latest updates will provide protection from previously disclosed vulnerabilities.
  • Ensure antivirus and IPS definitions are up-to-date.
  • Avoid visiting sites of questionable integrity.
  • Avoid opening files provided by untrusted sources.
  • Implement multiple redundant layers of security such as non-executable and randomly mapped memory segments that may hinder an attacker’s ability to exploit vulnerabilities.