江民赤豹反病毒:Lazarus组织利用零日漏洞获取内核权限
发表于:
2024-3-25 09:46
2557
江民赤豹反病毒:Lazarus组织利用零日漏洞获取内核权限
01 事件概述 近期,与朝鲜有关的Lazarus APT组织利用内核漏洞进行攻击,目标是appid.sys中的AppLocker驱动程序。这个零日漏洞被标记为CVE-2024-21338。 Microsoft在2月补丁日更新中已经解决了这个零日漏洞,并提供了相应的修复措施。 02 漏洞成因以及攻击事件分析 Lazarus组织利用Windows AppLocker驱动程序(appid.sys)中的一个缺陷作为零日漏洞来获取内核级访问权限并关闭安全工具,允许他们绕过杂乱的 BYOVD(自带易受攻击的驱动程序)技术。
Lazarus通过操纵appid.sys驱动程序中的输入和输出控制 (IOCTL) 调度程序来调用任意指针,利用它欺骗内核执行不安全代码,从而绕过安全检查进行下一步的攻击机制。 此外,rootkit同样内置在与漏洞利用相同的模块中,可以直接执行内核对象 (DKOM)进行相关操作。例如关闭安全产品、隐藏恶意活动,并在被破坏的系统上保持持久性。这种新型漏洞利用策略(BYOVD)标志着攻击者突破内核访问权限的重大升级,使他们能够发起更隐蔽的攻击并在受感染的系统上持续更长时间。Rootkit模块主要功能函数如下图:
03 漏洞检测方法
经过对微软补丁前后文件的观察,我们可以确定修复此漏洞的方法是添加 ExGetPreviousMode函数,以防止在用户模式启动的IOCTL触发任意回调。因此,我们提出以下检测方案:
提取风险代码块的二进制特征码 检测文件appid.sys文件中是否存在该特征码,若存在,则表明系统存在风险。 ( 补丁前后对比图 )
04 赤豹反病毒实验室给出的对抗防御措施
若修复此漏洞,可以通过下方地址下载,在其Security Updates项当中,选择与自己机器相同的系统版本号,还需要对应机器的指令架构和系统位数。例如查看机器版本号为21H2、windows10 (需区分arm架构)、64位,那么下载Windows10 Version 21H2 for x64-based Systems,build number为10.0.19044.4046。下载完成之后,运行并一键修复后等待重启即可。
下载地址:https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-21338
➡ 1、安装江民反病毒产品并将病毒库升级为最新版本,并定期进行全盘扫描。 ➡ 2、在使用移动介质前,应对移动介质内文件进行扫描确认不携带病毒文件。 ➡ 3、不打开陌生电子邮件,防止鱼叉式钓鱼式攻击。 ➡ 4、及时更新操作系统及应用软件补丁,防止漏洞利用攻击。 ➡ 5、为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。 ➡ 6、不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。 ➡ 7、定期进行目标机器的异常检查,包括是否出现新增账户、Guest是否被启用、系统日志是否存在异常、杀毒软件是否存在异常拦截等。 江民赤豹反病毒实验室专注反病毒技术研究,拥有自主研发文件威胁检测引擎、AI威胁检测引擎、流迭代威胁检测引擎等多款反病毒引擎产品,形成了全平台的恶意代码防御体系,并针对日新月异的网络安全环境,提供安全事件应急响应、恶意代码分析处置等多种安全服务。赤豹反病毒实验室致力于提供了全面、系统、一体化的网络安全防护,为客户提供强大技术支撑。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)