返回新闻列表

追踪零日漏洞:卡巴斯基实验室如何借助好奇心、公共信息和独特的保护技术发现网页技术中的危险漏洞

        卡巴斯基实验室在Silverlight(一种用于显示多媒体内容的网页技术)中发现一种零日漏洞。这种漏洞允许攻击者完全访问受感染的计算机,并且可以执行恶意代码,窃取用户机密信息,还能够执行其它非法操作。微软已经通过2016年1月12日发布的最新星期二补丁更新修复了这一漏洞(CVE-2016-0034)。这一漏洞的发现最早开始于五个月前针对一篇发表在科技博客Ars Technica上的文章调查。

        2015年夏,一篇关于Hacking Team公司(一家知名的“合法间谍软件”开发商)遭遇黑客攻击的报道登上各个媒体。其中一篇发表在Ars Technica上的文章提到了Hacking Team代表和Vitaliy Toropov(一名独立漏洞程序编写者)之间的通信被泄露。除此之外,这篇文章还提到Torpopov试图在通信中向Hacking Team销售一种有趣的零日漏洞。这种Microsoft Silverlight技术中的零日漏洞已经存在4年,并且微软将仍未对其进行修复。这条信息引起了卡巴斯基实验室研究人员的兴趣。

        文章中没有关于这一漏洞的进一步信息,所以研究人员开始使用销售者的名称进行调查。很快,他们发现一个名为Vitaliy Toropov的用户是开源漏洞数据库(OSVDB)上一名非常活跃的贡献者,很多人都会在这一数据库中发布关于漏洞的信息。通过分析该用户在OSVBD.org上的 资料,卡巴斯基实验室研究人员发现早在2013年,Toropov就发表了一篇描述Silverlight技术中所存在bug的概念验证(POC)文章。这篇概念验证(POC)文章介绍了一种较老的并且已经被修复的漏洞。但是,其中包含的详情和细节给了卡巴斯基实验室研究人员相关启示,掌握了漏洞利用程序编写者将如何编写恶意代码。

       之后,卡巴斯基实验室专家在分析中真的在一些代码中发现了一些独特的字符串。利用这些信息,安全专家为卡巴斯基实验室保护技术创建了一些特殊的检测规则。这样,一旦有同意分享威胁数据到卡巴斯基安全网络(KSN)的用户遇到具有这类特殊规则中所描述的恶意行为的恶意软件,系统会将这些文件标记为高度可疑文件,并将其发送给卡巴斯基实验室进行研究。这一策略的假设非常简单:即如果Toropov试图将这种零日漏洞卖给Hacking Team,他也很可能试图将其卖给其它间谍软件供应商。由于可能出现这种行为,所以其它的网络间谍攻击组织可能会正在互联网上使用这种漏洞并对用户进行攻击。

       我们的假设是正确的。部署这一特殊的检测规则后几个月内,一名卡巴斯基实验室的用户遭遇了一次攻击。攻击中使用的可疑文件正是我们所找的那种具有相关特征的文件。几个小时候,另一名来自老挝的用户(可能是攻击受害者)向多引擎扫描服务网站上传了具有同样特征的文件。卡巴斯基实验室对这种攻击进行分析发现,其确实利用了一种Silverlight技术中的未知漏洞。关于漏洞信息,卡巴斯基实验室及时上报给微软进行核实。

       “虽然我们不知道现在发现的这种漏洞是否实际上是Ars Technica文章中提到的漏洞,但我们有足够的理由相信,这两种漏洞其实是一样的。对最新的恶意文件和Vitaliy Toropov之前的工作进行分析后,我们认为最近发现的漏洞利用程序编写者和发布于OSVDB中的概念验证文章的作者是一个人。同时,我们不完全排除发现了另一种Silverlight零日漏洞的可能性。不管怎么说,这项研究发现了一种最新的零日漏洞,并且进行了漏洞修复,帮助网络空间变得更为安全。我们建议所有微软产品用户及时更新系统,修补这一漏洞,”卡巴斯基实验室全球研究和分析团队总监Costin Raiu说。

       卡巴斯基实验室产品将CVE-2016-0034漏洞利用程序检测为:HEUR:Exploit.MSIL.Agent.gen.

       要了解该漏洞是如何被发现的,请阅读以下博文:Securelist.com    

       如果想要学习如何编写有效的YARA规则,检测最新的APT和零日漏洞,为了不参加我们的YARA培训?像GReAT忍者一样利用Yara追踪APT(培训师包括Costin Raiu、Vitaly Kamluk和Sergey Mineev)。该培训课程即将售罄!

       想要了解更多关于卡巴斯基实验室高级保护技术和安全服务,请访问:http://www.kaspersky.com/enterprise-security