2018 足球狂熱 – ESET VS Malware










關於Version 2 Limited

Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、台灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於ESET

ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布里斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。 

ESET Threat Intelligence data improves detection

A test conducted by Whalebone, a provider of DNS filtering services, showed that adding Indicators of Compromise from ESET to DNS filtering detection data significantly improves detection.

Experts from Whalebone and ESET revealed the results of a DNS filtering test in their joint presentation at the IS2 Conference, an information security event held in Prague, Czech Republic. The test was run on a sample of 100,000 internet connections, representing around half a million connected devices in two countries, the Czech Republic and Slovakia.

Before, Whalebone had utilized Indicators of Compromise (IoC) generated via methods such as sandbox simulations, analysis of network traffic or utilizing known malware patterns. „We wanted to include detection data from endpoints as a new source of IoC, hoping for improved detection capability,“ said Robert Šefr, Whalebone’s Chief Technology Officer.

The test was aimed at confirming the expectation that including IoC from ESET Threat Intelligence would lead to new, previously unavailable detections – while keeping false positives at a minimum.

The test was run in the first quarter of 2018 and involved around 55,000 unique malicious domains in the tested IoC feed. Out of those, around 1100 domains were detected. 18.5% of the devices in the test made at least one attempt to contact a malicious domain from the feed; the overall number of incidents in the test was around 1.75 million. Out of those, around  half (866,000 incidents, precisely 49.51%) were detected based solely on the IoC provided by ESET – i.e., without data from ESET, these incidents would have gone undetected. Only 0.47% of incidents were detected based on both ESET’s and original Whalebone data; the remaining 50.02% of incidents were detected independently from ESET.

Out of the 866,000 incidents detected based on the IoC by ESET, only one single domain blocking was found to be a false positive.

„The Whalebone test clearly showed that rigorous categorization of data, which is paramount for ESET, allows for both a high detection rate and keeping false positives close to zero,“ comments Peter Dekýš, ESET’s IT Security Director.

“The testing has shown that by including IoC from ESET Threat Intelligence, detections significantly increased, with false positives amounting virtually to zero. Overall, the test has proven that it is appropriate to use endpoint-sourced IoC for DNS-level protection”, concludes Whalebone’s Robert Šefr.

For more information about ESET Threat Intelligence, please visit ESET Threat Intelligence.

About Version 2 Limited
Version 2 Limited is one of the most dynamic IT companies in Asia. The company develops and distributes IT products for Internet and IP-based networks, including communication systems, Internet software, security, network, and media products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 Limited offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

About ESET
For 30 years, ESET® has been developing industry-leading IT security software and services for businesses and consumers worldwide. With solutions ranging from endpoint security to encryption and two-factor authentication, ESET’s high-performing, easy-to-use products give individuals and businesses the peace of mind to enjoy the full potential of their technology. ESET unobtrusively protects and monitors 24/7, updating defenses in real time to keep users safe and businesses running without interruption. Evolving threats require an evolving IT security company. Backed by R&D facilities worldwide, ESET became the first IT security company to earn 100 Virus Bulletin VB100 awards, identifying every single “in-the-wild” malware without interruption since 2003.

惡意的PDF樣本同時開採Adobe Reader與Windows漏洞

2018年3月下旬,ESET研究人員發現了一款不同尋常的PDF惡意樣本。經過專業分析後發現,其利用Adobe Reader的記憶體重覆釋放漏洞,以及舊版Windows權限擴張漏洞,結合兩個漏洞,駭客能以最高權限執行任意程式,而且只要求很少的使用者互動。
同時開採這兩個漏洞讓該攻擊程式的威力非常強大,將允許駭客於電腦以最高權限執行任意程式,而且只要求很少的使用者互動。APT駭客團隊常利用多個漏洞進行攻擊,例如去年Sednit發起的攻擊便是如此。
ESET在發現的同時間,即通知Adobe與微軟,他們也分別在5月修補了位於Adobe Reader中的CVE-2018-4990漏洞及Windows中的CVE-2018-8120漏洞,後者僅影響舊版Windows,包括Windows 7 SP1與Windows Server 2008 SP1/SP2。
受此影響的產品版本如下:
Acrobat DC(2018.011.20038及以下版本)
Acrobat Reader DC(2018.011.20038及以下版本)
Acrobat 2017(011.30079及以下版本)
Acrobat Reader DC 2017(2017.011.30079及以下版本)
Acrobat DC(2015經典版)(2015.006.30417及以下版本)
Acrobat Reader DC(2015經典版)(2015.006.30417及以下版本)
Windows 7 32位SP1
Windows 7 64位SP1
Windows Server 2008 32位SP2
Windows Server 2008安騰處理器版SP2
Windows Server 2008 64位SP2
Windows Server 2008 R2安騰處理器版SP1
Windows Server 2008 R2 64位SP1
以下為惡意樣本的技術細節及其所利用的漏洞。
PDF(可攜式文件格式)是一種電子檔格式。與其他常見文件格式相似,它可被攻擊者用來向受害者的電腦投遞惡意程式。但在執行自編惡意程式碼之前,攻擊者須首先找出並利用PDF閱讀器軟體中所蘊含的漏洞。PDF閱讀器有很多產品,其中使用較廣泛的一款就是Adobe Reader。
駭客若要利用PDF檔案展開攻擊,必須於PDF讀取軟體中找到可開採的安全漏洞,而在該樣本中,駭客發現了Adobe Reader中的記憶體重複釋放漏洞,並藉由嵌入式的JavaScript程式碼展開攻擊,取得記憶體的讀寫權限,並執行惡意程式。由於Adobe Reader具備沙箱功能,就算可執行惡意程式,駭客也必須繞過沙箱保護才能危害執行Adobe Reader的電腦
此次攻擊者成功找到安全性漏洞,並針對Adobe Reader軟體和作業系統編寫漏洞攻擊程式,是極其罕見的一起案例。
CVE-2018-4990 – Adobe Reader遠端控制設備安全性漏洞
該惡意PDF樣本中內含JavaScript程式碼,便於掌控整個漏洞攻擊過程。當PDF檔打開時,JavaScript程式碼便得以執行。
漏洞攻擊初期,JavaScript程式碼開始操控Button1物件。該物件中含有一張專門編制的JPEG2000圖片,利用後者觸發Adobe Reader之中的雙重釋放安全性漏洞。
圖1:操控Button1物件的JavaScript程式碼
該JavaScript利用heap-spray techniques,損壞內部資料架構。在實施所有上述操控步驟後,攻擊者便實現了其主要目標:掌控自編JavaScript程式碼的記憶體讀寫權。
圖2:用於實現記憶體讀寫的JavaScript程式碼
運用這兩項基本步驟,攻擊者便可找到EScript.api外掛程式的記憶體位置,即Adobe JavaScript引擎所在地址。然後再利用該模組的彙編指令(返回導向程式設計工具,即ROP外掛程式),使惡意JavaScript設置返回導向程式設計鏈,從而達到執行native shellcode的目的。
圖3:產生返回導向程式設計鏈的惡意JavaScript
最後一步,shellcode會初始化PDF文檔中已嵌入的一個可移植執行體(PE)檔,並向其傳達執行指令。
CVE-2018-8120 – Microsoft Windows系統許可權提升漏洞
利用Adobe Reader之中的安全性漏洞後,攻擊者還需要攻陷沙箱。這正是接下來要探討的第二步漏洞攻擊的用意所在。
這一先前未知漏洞之所以存在的根源在於,Windows內核組件Win32k之中的NtUserSetImeInfoEx函數。具體來說,SetImeInfoEx subroutine of NtUserSetImeInfoEx不驗證資料指標,從而允許引用NULL pointer dereference。
圖4:分解後的SetImeInfoEx routine
從圖4可明顯看出,SetImeInfoEx函數中的第一個參數原本期待,指標指向視窗工作站物件。如攻擊者新建視窗工作站物件,並在使用者模式下將其分配給當前進程,則spklList可等於零。故而,通過NULL page並將指標設置為偏移量0×2C,攻擊者便可利用該漏洞,在核空間中寫入任意位址。需注意的是,Windows 8及以上系統中,已不允許使用者進程NULL page。
由於攻擊者擁有寫入任意代碼的基本許可權,便可運用各類技術實施攻擊。本例中,攻擊者選擇使用由Ivanlef0u和Mateusz “j00ru” Jurczyk及Gynvael Coldwin已描述過的一項技術,通過重寫通用描述元表(GDT)的方式,將調用門設置為Ring 0。具體操作是,攻擊者運用保存通用描述元表(SGDT)的彙編指令,獲取GDT原始位址,建立自編描述符表,然後再利用上述漏洞,重新寫入原表。
然後該漏洞攻擊法使用CALL FAR指令,執行相互特權級調用。
圖5:分解後的CALL FAR指令
當核心模式執行代碼後,攻擊者會將當前the token更換為the system token。
結論
ESET研究人員表示雖然該樣本並未完成,但足已顯示駭客發現漏洞與撰寫攻擊程式的技術高超。
全球資安大廠ESET一直致力開發主動偵測、多層級的安全技術,並結合自動化的機器學習和人類知識,基於30 年的研究經驗,為各種規模的企業和端點平台,提供主動和智慧的防護產品或解決方案。連年榮獲Virus Bulletin 100獎項肯定, 優異的成績持續保持業界領先地位。全球擁有超過1億的用戶,代理機構遍及全球超過180個國家,支援多種語系,並提供在地化的服務協助、是個人及企業值得信賴的資安領導品牌。若有任何資安需求,歡迎洽詢ESET資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://www.eset.tw/