Эксплойты нулевого дня в атаках группы PuzzleMaker

Злоумышленники из PuzzleMaker использовали эксплойты нулевого дня для Chrome и Windows-уязвимостей CVE-2021-31955 и CVE-2021-31956.

Технологии поведенческого детектирования угроз и обнаружения эксплойтов в Kaspersky Endpoint Security для бизнеса выявили волну целевых атак при помощи цепочки эксплойтов нулевого дня. В атаках использовались уязвимости в браузере Google Chrome и операционной системе Microsoft Windows. В данный момент они уже закрыты (соответствующее обновление от Microsoft вышло 8 июня), так что мы рекомендуем всем обновить и браузер, и систему.

Чем опасны атаки PuzzleMaker

Через уязвимость в веб-браузере Google Chrome злоумышленники исполняют вредоносный код на машине жертвы, затем при помощи двух уязвимостей в Windows 10 покидают «песочницу» и получают системные привилегии. После этого на компьютер загружается первый вредоносный модуль, так называемый стейджер, с персонализированным под жертву блоком конфигурации (адресом командного сервера, идентификатором сеанса, ключами для расшифровки следующего модуля и так далее).

Стейджер извещает злоумышленников об успешном заражении, скачивает и расшифровывает модуль-дроппер, который, в свою очередь, устанавливает два исполняемых файла, притворяющихся легитимными процессами. Первый, WmiPrvMon.exе, регистрируется как служба и запускает второй — wmimon.dll. Именно он и является основной полезной нагрузкой атаки и представляет собой удаленную оболочку (remote shell).

При помощи этой оболочки злоумышленники получают возможность всячески хозяйничать на машине жертвы: загружать и скачивать файлы, создавать процессы, уходить в сон на определенное время или удалять следы атаки с машины. Общение с командным сервером этот вредонос осуществляет через зашифрованное соединение.

Что за эксплойты и что за уязвимости

К сожалению, изучить код эксплойта удаленного исполнения кода, применявшегося для атаки на Google Chrome, нашим экспертам не удалось. Однако они провели тщательное расследование и пришли к выводу, что злоумышленники, вероятно, использовали в атаке уязвимость CVE-2021-21224. Если вам интересно, как и почему они пришли к этому выводу, можете ознакомиться с ходом их рассуждений в посте на блоге Securelist. Как бы то ни было, патч, закрывающий эту уязвимость, был выпущен 20 апреля 2021 года (меньше чем через неделю после того, как мы обнаружили атаку).

Эксплойт повышения привилегий использует сразу две уязвимости в Windows 10. Первая, CVE-2021-31955 — это уязвимость раскрытия информации в файле ntoskrnl.exe. С помощью нее эксплойт узнавал адреса ядра структуры EPROCESS для выполняемых процессов. Вторая уязвимость, CVE-2021-31956, относится к классу уязвимостей переполнения буфера динамической памяти в драйвере ntfs.sys. Она использовалась совместно с механизмом уведомлений Windows Notification Facility и позволяла считывать из памяти данные и записывать их туда. Этот эксплойт успешно работает на самых распространенных сборках Windows 10: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1) и 19042 (20H2). Также уязвима должна быть и сборка 19043 (21H1), хотя она появилась уже после того, как мы зарегистрировали волну атак PuzzleMaker. Обновление, исправляющее эти уязвимости, вышло только 8 июня.

Подробное техническое описание и индикаторы компрометации можно найти в блоге на сайте Securelist.

Как защититься от подобных атак

Чтобы используемые злоумышленниками в данной атаке эксплойты не поставили под угрозу безопасность вашей компании, первым делом следует обновить Google Chrome до последней версии и установить с сайта Microsoft обновления операционной системы, закрывающие уязвимости CVE-2021-31955 и CVE-2021-31956.

Однако для того чтобы вам не угрожали другие уязвимости нулевого дня, к которым патчей еще нет, следует использовать защитные продукты, способные выявлять попытки эксплуатации таких уязвимостей по поведению. Например, данную атаку наши решения обнаружили при помощи технологии Behavioral Detection Engine и подсистемы Exploit Prevention.

09.06.2021