主页 > 网络知识 > Chrome最新0day漏洞分析(2)

Chrome最新0day漏洞分析(2)

之后尝试使用递归函数创建了很多对象,为了生成一些确定的堆布局,对于成功利用该漏洞非常重要。同时,它利用堆喷技术,该技术可重用先前在UaF部分释放的指针。但该技巧可能会引起混乱,使攻击者对两个不同的对象进行操作。

该漏洞尝试执行许多操作来分配/释放内存,最终为攻击者提供任意的读/写,用于制作可以与WebAssembly和FileReader一起使用的特殊对象,以执行Shellcode。

 

Chrome最新0day漏洞分析

 

Payload

最终的有效负载为加密的二进制文件(worst.jpg),下载后由shellcode解密。

 

Chrome最新0day漏洞分析

 

解密后,恶意软件模块将作为updata.exe存储在磁盘上并执行。 为了持久控制,该恶意软件会在Windows Task Scheduler中新建任务。

有效负载“安装程序”是RAR SFX文件,其中包含以下信息:

File size: 293,403 MD5: 8f3cd9299b2f241daf1f5057ba0b9054 SHA256: 35373d07c2e408838812ff210aa28d90e97e38f2d0132a86085b0d54256cc1cd

文件包含两个部分:

 

Chrome最新0day漏洞分析

 

File name: iohelper.exe MD5: 27e941683d09a7405a9e806cc7d156c9 SHA256: 8fb2558765cf648305493e1dfea7a2b26f4fc8f44ff72c95e9165a904a9a6a48 File name: msdisp64.exe MD5: f614909fbd57ece81d00b01958338ec2 SHA256: cafe8f704095b1f5e0a885f75b1b41a7395a1c62fd893ef44348f9702b3a0deb

这两个文件是同时编译的,时间戳记是“ Tue Oct 8 01:49:31 2019”。

主模块(msdisp64.exe)从硬编码C2服务器集中下载下一阶段模块,下一阶段模块位于C2服务器上受害计算机名称的文件夹中。攻击者可以了解有哪些计算机被感染,并将下一阶段模块放置在C2服务器上的特定文件夹中。

IoCs

behindcorona[.]com

code.jquery.cdn.behindcorona[.]com

8f3cd9299b2f241daf1f5057ba0b9054

35373d07c2e408838812ff210aa28d90e97e38f2d0132a86085b0d54256cc1cd

27e941683d09a7405a9e806cc7d156c9

8fb2558765cf648305493e1dfea7a2b26f4fc8f44ff72c95e9165a904a9a6a48

f614909fbd57ece81d00b01958338ec2

cafe8f704095b1f5e0a885f75b1b41a7395a1c62fd893ef44348f9702b3a0deb

kennethosborne@protonmail.com

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!