漏洞資訊 Vulnerability Information

即刻修補漏洞 降低危害風險
漏洞資訊 Vulnerability Information

Lazarus 利用 dell 驅動程式的漏洞攻擊使用者的電腦設備

2022-10-05

◾️ 簡述

北韓的惡意攻擊組織 Lazarus 近日被發現利用 dell 驅動程式,利用 BVOVD 攻擊手法,在受害者的電腦中下載 Window Rootkit。Bring Your Own Vulnerable Driver (BYOVD) 技術是駭客組織透過具有有效簽名的特定驅動核心 (kernel driver),繞過驅動程式中的 signature enforcement policy (DSE) 檢測;並且,透過此驅動程式中的弱點,在使用者端 (User mode) 取得對於一個核心的讀寫權限。

 

◾️ 攻擊手法

根據兩名具名受害者:一個來自比利時的政治作家與一名來自荷蘭一航空公司的職員的回饋,ESET 在 10 月 3 日時發佈了一篇Lazarus 此次攻擊行為的研究報告書,其中提到本次 Lazarus 可能為透過偵測行為進行資料竊取。

其攻擊手法以下將進行簡述:

  1. 透過魚叉式釣魚攻擊 (spear-phishing campaign) 透過 Email 或是 Linkedin 針對歐洲民眾廣發假冒的工作訊息,或是 Amazon 的訊息。

  2. 一旦受害者下載信件中的附加檔案,將使惡意的程式從遠端被下載到受害者的設備中,例如:惡意軟體的下載與移除程式或後門程式。其中,最值得記錄的是:研究者們發現一個名為 FudModule 的 rootkit 第一次在 Dell 驅動程式的 BYOVD 攻擊中被發現。

  3. 在此 BYOVD 攻擊中,Lazarus 透過弱點 CVE-2021-21551,從使用者模式中取得對於 Dell 驅動程式中核心記憶體 (kernel memory) 的讀寫權限。

  4. Lazarus 透過對此核心記憶體 (kernel memory) 的讀寫權限關閉了 Windows 作業系統內部對於惡意活動的監測,例如:註冊、文件系統、進程創建、事件跟踪等等;使Windows 作業系統的惡意監測變得無威脅性,進而使 Lazarus 先前透過弱點 CVE-2021-21551 取得的核心可以被下載至作業系統中,進而在核心模式與權限下,執行惡意的程式碼,對設備進行操弄。

 

根據調查報告, Lazarus 所利用的 Dell 驅動程式的弱點- CVE-2021-21551,是 12 年前就已經被回報的弱點;Rapid7 團隊也在 2021 年底提出警告:「CVE-2021-21551 是一個極易被利用到 BYOVD 攻擊的弱點」;終於在近期,被提出了版本的更新和修補。

除了上述的攻擊細節,ESET 也報告 Lazarus 也會在攻擊中對受害設備下載後門程式-BLINDINGCAN。'BLINDINGCAN 是由美國情報單位在 2020  8 月發現,並在 2021 年 10 月被 Kaspersky 指認為 Lazarus 所使用的後門程式。

透過 BLINDINGCAN 後門程式,Lazarus 可以遠程存取木馬 (remote access trojan (RAT)),對使用者的電腦進行至少25種指令的控制,例如:文件資料讀取、程式碼執行、C2 通訊、截圖、進程創建與終止、系統資訊讀取等等。

 

◾️ 結語

根據 ESET 所提供的研究報告,因應 Lazarus 最有效的方法是預防來自 Lazarus 的惡意檔案被下載到公司的設備中,而不是在試圖在攻擊的過程中停止 Lazarus 的 BYOVD 攻擊。

因此,公司應該強烈禁止使用者使用公司的設備進行私人的活動,例如:找公司、網路購物等等,以避免公司的員工使用公司的設備受到釣魚攻擊,進而造成公司內部資料的損失。

 

參考資料

 

TOP