你相信吗？黑客通过浏览器也能控制你的电脑

通过郭盛华老师

你相信吗？黑客通过浏览器也能控制你的电脑

网络安全研究人员披露了有关针对韩国侨民的新型水坑攻击的详细信息，该漏洞利用Google Chrome和Internet Explorer等网络浏览器中的漏洞来部署间谍软件，以进行间谍活动。

该趋势被趋势科技称为“ Operation Earth Kitsune ”，涉及使用SLUB（用于SLack和githUB）恶意软件和两个新的后门程序dneSpy和agfSpy，以泄露系统信息并获得对受感染计算机的额外控制。

据网络安全公司称，在3月，5月和9月的几个月中观察到了这些攻击。

水坑攻击（黑客攻击方式之一，顾名思义，是在受害者必经之路设置了一个“水坑(陷阱)”。）通过插入旨在利用受害设备访问恶意设备并感染受害者设备的漏洞来破坏精心挑选的网站，从而使不良行为者可以破坏目标企业。

多元化运动

尽管先前涉及SLUB的操作使用GitHub存储库平台将恶意代码段下载到Windows系统上，并将执行结果发布到攻击者控制的私有Slack通道，但该恶意软件的最新版本已将目标瞄准了Mattermost，类似于Slack，源协作消息传递系统。

趋势科技表示：“战役非常多样化，在受灾机器上部署了许多样本，并在此操作中使用了多个命令与控制（C＆C）服务器。” “总共，我们发现该活动使用了五台C＆C服务器，七个样本以及四个N-day bug的利用。”‘

该攻击旨在跳过安装了安全软件的系统，以阻止检测，该攻击利用武器解决了一个已补丁的Chrome漏洞（CVE-2019-5782），攻击者可以通过特制HTML在沙箱中执行任意代码页。

另外，Internet Explorer（CVE-2020-0674）中的漏洞也被用来通过受感染的网站传播恶意软件。

dneSpy和agfSpy-功能齐全的间谍活动后门

尽管感染媒介有所不同，但利用链仍按相同的步骤顺序进行-启动与C＆C服务器的连接，接收删除程序，然后删除程序，然后在继续下载之前检查目标系统上是否存在反恶意软件解决方案三个后门样本（“ .jpg”格式）并执行它们。

这次发生的变化是，除了为每台计算机创建一个单独的通道以从受感染的主机检索所收集的信息之外，还使用了Mattermost服务器来跟踪跨多台受感染的计算机的部署。

在其他两个后门dneSpy和agfSpy中，前者旨在收集系统信息，捕获屏幕快照以及下载和执行从C＆C服务器接收的恶意命令，然后将其结果压缩，加密并泄露到服务器。

​趋势科技的研究人员说：“ dneSpy设计的一个有趣方面是其C＆C旋转行为。” “中央C＆C服务器的响应实际上是下一阶段C＆C服务器的域/ IP，dneSpy必须与之通信以接收进一步的指令。”

dneSpy的对等产品agfSpy带有自己的C＆C服务器机制，可用于获取Shell命令并将执行结果发回。其主要功能包括枚举目录和列表，上载，下载和执行文件的功能。

研究人员总结说：“由于地球使用的各种组件以及它们之间的相互作用，因此，地球Kitsune行动变得复杂而多产。” “该运动使用新样本来避免被安全产品检测的现象也非常值得注意。”

“从Chrome漏洞利用程序的Shellcode到agfSpy，该操作中的元素都经过了自定义编码，这表明此操作背后存在着一个小组。该小组今年似乎非常活跃，我们预计，他们将继续朝这个方向发展一段时间。”（来源：郭盛华博客，转载请注明出处）​