卡巴斯基实验室发现FruityArmor攻击中使用了一种Windows零日漏洞

微软发布一款最新的安全补丁后，卡巴斯基实验室的专家终于能够解释一个名为FruityArmor的网络攻击组织是如何使用一种Windows零日漏洞实施针对性攻击的。FruityArmor使用的零日漏洞为CVE-2016-3393，并利用这种漏洞绕过沙盒技术，帮助攻击者在受害者计算机中维持较高的权限，远程执行恶意代码。CVE-2016-3393漏洞是卡巴斯基实验室今年利用专门被设计用于检测和拦截漏洞的技术所检测到的第四个零日漏洞。

微软公司在10月11日发布了一个修复软件关键漏洞的补丁。之后，卡巴斯基实验室的专家发表了一篇关于FruityArmor攻击组织如何使用这种漏洞的报告。该攻击组织有些不同寻常，因为其攻击平台是用一种被称为PowerShell的Windows自动化和脚本语言所编写的。

一旦进入目标机器，攻击者通常会依靠浏览器漏洞执行恶意代码。但是，由于很多浏览器都内置沙盒，能够隔离和安全地启动新的应用，所以浏览器漏洞利用程序很少能够依靠自身提供攻击者所需要的访问权限。所以，FruityArmor采用了EoP（权限提升）漏洞利用程序辅助浏览器利用程序，让攻击者可以绕过沙盒。而CVE-2016-3393就是一种针对Windows的EoP（权限提升）漏洞利用程序。

漏洞利用程序被成功部署后，会以较高的权限执行第二阶段的恶意负载，运行高级和动态注释格式的PowerShell脚本，连接到攻击者的命令和控制服务器。之后，恶意软件就准备接收进一步的指示，下载额外的恶意模块。

“尽管有趋势显示，越来越多的攻击者开始使用现成的恶意软件，但未修补的零日漏洞仍然非常抢手，对针对性威胁攻击者来说非常宝贵。对这类漏洞的需求不可能短时间内降低，所以安全研究人员要继续寻找这些漏洞，找到能够检测这些漏洞的保护技术，同时软件开发商也要快速响应，开发出修补程序。我们共同分担着保护客户的责任，”卡巴斯基实验室安全专家Anton Ivanov说。

卡巴斯基实验室产品将CVE-2016-3393漏洞利用程序检测为：

• HEUR:Exploit.Win32.Generic
• PDM:Exploit.Win32.Generic

这种漏洞利用程序是由卡巴斯基实验室产品的自动漏洞入侵防护模块检测到的。卡巴斯基实验室所有针对Windows平台的旗舰安全解决方案都包含这一模块，而且该模块还会不断更新。这种模块包含最新的技术，能够检测高级威胁，被用于检测利用软件漏洞进行攻击的恶意软件，包括利用零日漏洞的恶意软件。该模块会监控多种应用，包括最常被攻击的应用，并且会对任何可疑行为进行额外的安全检查。

想要了解更多关于CVE-2016-3393漏洞详情，请阅读Securelist.com上的相关博文。

卡巴斯基情报服务客户可以获取更多关于FruityArmor高级可持续性威胁攻击组织的详情，请联系：intelreports@kaspersky.com

卡巴斯基实验室在2016年检测到的其他三个零日漏洞中有两个为Adobe Flash漏洞，分别为CVE-2016-1010和CVE-2016-4171，另一个则为Windows权限提升漏洞――CVE-2016-0165.