在野外0天响应Firefox（谷歌翻译）

5天30日星期四，Coinbase员工收到了一封电子邮件，声称是来自剑桥大学研究资助管理员Gregory Harris的电子邮件。此电子邮件来自合法的剑桥域名，不包含恶意内容，通过垃圾邮件检测，并引用收件人的背景。在接下来的几周内，收到了类似的电子邮件。没什么好看的。在6月17日上午6:31，Gregory Harris发送了另一封电子邮件，但这一封不同。它包含一个URL，当在Firefox中打开时，会安装能够接管某人机器的恶意软件。 Coinbase Security很快发现这些电子邮件不是普通的 - 它们都是一个复杂的，高度针对性的，经过深思熟虑的攻击的一部分，它使用了鱼类网络钓鱼的社会工程策略，最重要的是两个Firefox 0天的漏洞。在几个小时内，Coinbase Security检测到并阻止了攻击。这是它展开的方式。漏洞此攻击中有两个独立的0天链接在一起，一个允许攻击者将页面上的JavaScript权限升级到浏览器（CVE-2019-11707），允许攻击者逃脱浏览器沙箱和在主机上执行代码（CVE-2019-11708）。 CVE-2019-11707由Google的Project Zero的SamuelGroß和攻击者同时发现。基于攻击者（我们跟踪CRYPTO-3并且也被称为HYDSEVEN）的方式的显着差异，选择触发漏洞与Project Zero PoC使用的触发器，我们不相信攻击者获得了从Mozilla或Google利用，但独立发现了漏洞。 SamuelGroß详细介绍了为什么会出现这种情况。第二个漏洞，CVE-2019-11708，也非常有趣。虽然Firefox中存在核心漏洞已有一段时间，但攻击者选择触发漏洞的方式自5月12日起才有可能实现。这表明攻击者发现武器化的周期非常快（或者攻击者获得0天的任何人。在查看实际的漏洞利用代码时，有许多值得注意的功能。首先，虽然0天的交付是高度针对性的（它仅被提供给最初目标的200个中的大约5个人），但是没有努力混淆JavaScript本身。在审查代码时，我们注意到它结构良好。函数和变量具有描述性名称，代码分为合理的功能单元。总的来说，感觉就像是一个在开发漏洞方面具有丰富经验的团队的工作。设置一旦攻击者具有这种初始能力，他们就会将注意力转向交付方法。他们妥协或创建了两个电子邮件帐户，并在剑桥大学创建了一个登陆页面，并于5月28日注册了用于提供漏洞利用的域名。我们不知道攻击者何时首次访问剑桥帐户，或帐户是否被接管或创建。正如其他人所指出的那样，与电子邮件帐户相关联的身份几乎没有在线存在，LinkedIn配置文件几乎肯定是假的。剑桥为其员工提供了在剑桥领域托管个人档案的能力。一旦攻击者访问了相关帐户，他们就会通过克隆和修改现有的剑桥大学页面并在攻击者控制的帐户的个人存储目录中提供这些页面来准备一系列页面。攻击第一次网络钓鱼电子邮件于5月30日开始发布。第一封电子邮件不包含恶意内容（下面屏幕截图中的链接不包含任何恶意代码）。攻击者通过资格审查程序和潜在受害者的多轮电子邮件，确保他们在将受害者引导到包含漏洞有效载荷的页面之前是高收益目标。这个过程通常持续数周，只有大约2.5％的收到初始电子邮件的人最终收到了指向0天主页的链接。攻击者很好地创造了一种感觉，即受害者正在使用多种技术与合法的人交谈。妥协的学术电子邮件允许他们避免任何电子邮件过滤或常见的垃圾邮件检测，并通过传播通信，攻击者模拟正常的人类行为。电子邮件的内容引用了真实的学术活动，并且狭隘地针对被钓鱼者的背景。一旦攻击者对目标进行了限定，他们就会发送一个包含攻击有效负载的单独链接。此攻击的第一阶段首先确定了操作系统和浏览器，并向当前未使用Firefox的macOS用户显示了令人信服的错误，指示他们从Mozilla安装最新版本。在Firefox中访问该页面后，漏洞利用代码是在5月28日注册的独立域analyticsfit [。] com中提供的。利用有效负载使用CVE-2019-11707和CVE-2019-11708获取任意代码执行作为用户。攻击者的shellcode然后炮轰了curl命令下载并运行第1阶段植入。由shellcode拉下的第1阶段植入（07a4e04ee8b4c8dc0f7507f56dc24db00537d4637afee43dbb9357d4d54f4ff4）是32位，这导致macOS弹出警告，即不推荐使用32位执行。第1阶段二进制文件是Netwire系列的变体。虽然这种植入物能够充当全功能RAT，但攻击者似乎主要将其用作初始侦察和凭证盗窃有效载荷。我们在此阶段根据许多行为检测到攻击者（例如Firefox不应该生成shell）。在重新获取侦察数据和明显凭证存储（.ssh，.aws，.gpg，钥匙串等）和文档格式的基本掠夺，然后是指示人类参与的延迟之后，阶段1有效负载用于引导阶段2有效载荷（97200b2b005e60a1c6077eea56fc4bb3e08196f14ed692b9422c96686fbfc3ad）。阶段2有效载荷是Mokes系列的变体。攻击者似乎将这种植入物用作完整的RAT。我们观察到第2阶段植入物的活动与直接人类控制一致。我们的假设是第1阶段只进入第2阶段，攻击者认为第2阶段已经获得了许多价值。我们还观察到攻击者通过直接访问浏览器数据存储区，通过浏览器会话令牌窃取专门针对云服务（例如gmail和其他人）。此活动还提供了基于行为的检测的机会，因为相对较少的进程应该直接访问这些文件。我们的回应我们根据员工的报告和自动警报开始调查此事件。首先，我们在终端检测和响应工具中检查了员工的机器。看看最近的流程活动，Firefox翘起来立即脱颖而出。响应小组制造了一个事件，并首先尝试确定攻击的范围。我们从相关主持人处收集了IOC，并开始在我们的网络中广泛搜索。在我们的环境中，我们没有看到任何其他IOC，并将当时我们拥有的所有IOC列入黑名单。同时，我们从网络钓鱼站点收集样本，包括捕获0天，但它仍然存在并且攻击者可能不知道我们的响应。我们还撤消了计算机上的所有凭据，并锁定了属于受影响员工的所有帐户。一旦我们感到舒服，我们已经在我们的环境中实现了遏制，我们就联系了Mozilla安全团队并分享了此攻击中使用的漏洞利用代码。 Mozilla安全团队响应迅速，能够在第二天为CVE-2019-11707和同一周的CVE-2019-11708进行补丁。我们还与剑桥大学联系，以协助保护他们的基础设施并收集有关攻击者行为的更多信息。因此，我们能够迅速降低攻击者继续其广告系列的能力，并了解有关广告系列范围的更多信息。我们了解到，这个攻击者攻击了200多名个人，并确定了雇用这些人员的组织，以便我们可以联系并向他们的安全团队提供他们所需的信息，以保护他们的基础设施并保护他们的员工。由于我们在Coinbase的安全第一文化，我们的检测和响应工具的完整部署，清晰且经过良好实践的剧本以及快速撤销访问的能力，我们能够抵御这种攻击。加密货币行业不得不期待这种复杂性的攻击继续下去，通过建立具有出色防御姿态的基础设施，并相互合作分享我们所看到的攻击信息，我们将能够为自己和客户辩护，支持加密经济，建立未来的开放金融体系。 Coinbase将来将继续面临严峻的安全挑战，并迎接他们。如果您有兴趣成为Coinbase安全团队的一员，请查看我们职业生涯页面上的一些可用职位。本网站包含指向第三方网站或其他内容的链接，仅供参考（“第三方网站”）。第三方网站不受Coinbase，Inc。及其附属公司（“Coinbase”）的控制，Coinbase不对任何第三方网站的内容负责，包括但不限于第三方网站中包含的任何链接。派对网站，或对第三方网站的任何更改或更新。 Coinbase不对从任何第三方网站收到的网络广播或任何其他形式的传输负责。 Coinbase仅为方便起见向您提供这些链接，并且包含任何链接并不意味着Coinbase对该网站的认可，批准或推荐或与其运营商的任何关联。