利用Firefox 0day漏洞攻擊事件的分析，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

目前成都創(chuàng)新互聯(lián)已為上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)站空間、網(wǎng)站托管、服務(wù)器托管、企業(yè)網(wǎng)站設(shè)計、印江網(wǎng)站維護(hù)等服務(wù)，公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

背景

近期的 Firefox漏洞CVE-2019-11707最早是 Google Project Zero的Samuel Gro?在4月15號提交的，不過他發(fā)現(xiàn)的0day只能導(dǎo)致代碼執(zhí)行，卻無法進(jìn)行Firefox的沙盒逃逸，因此如果在實際攻擊中利用應(yīng)該還需要配合一個沙盒逃逸的漏洞。

隨后在近日，數(shù)字貨幣交易機(jī)構(gòu)Coinbase的安全人員向Firefox提交了其內(nèi)部遭到攻擊時捕獲到的一個漏洞，該漏洞經(jīng)過證明為一處沙盒逃逸的漏洞，并被命名為CVE-2019-11708。

后續(xù)Coinbase的相關(guān)安全人員也公布了其中的 IOC，并且聲稱其并不是遭受攻擊的唯一數(shù)字貨幣交易機(jī)構(gòu)。

Hash：

af10aad603fe227ca27077b83b26543b

de3a8b1e149312dac5b8584a33c3f3c6

C2 IP：

89.34.111.113:443

185.49.69.210:80

并且著名的Mac惡意樣本研究小站Objective-See發(fā)布了涉及該漏洞事件投遞的macOS 后門的分析報告（https://objective-see.com/blog/blog_0x43.html）。

結(jié)合報告披露的內(nèi)容，有數(shù)字加密貨幣的相關(guān)人員收到了如下圖的郵件之后，點擊了對應(yīng)的html從而導(dǎo)致后臺惡意代碼執(zhí)行，有意思的是其提供的后續(xù)惡意代碼和之前Coinbase安全人員提供的一致，即de3a8b1e149312dac5b8584a33c3f3c6，因此將這個兩次事件聯(lián)系到一起，猜測這次0day的攻擊源頭來自于people.ds.cam.ac.uk/nm603/awards/Adams_Prize。

隨后我們對相關(guān)線索進(jìn)行進(jìn)一步的分析。

分析

我們通過vt可以看到Coinbase提供的兩個樣本，其中主要關(guān)注第二個，該樣本和之前objective-see中提到的一致。

第一次的提交時間為6月6日，來自于南非，第二次則是6月20日，來自于加拿大。

再看看由Coinbase提供的兩個ip，89.34.111.113:443和185.49.69.210:80

其中89.34.111.113下就有之前提到的de3a8b1e149312dac5b8584a33c3f3c6（IconServicesAgent），除此之外一個還有一個windows相關(guān)的樣本，上傳時間為2018年4月16日。

結(jié)合奇安信TIP 平臺也可以查看到該 IP 歷史對應(yīng)的樣本，其為 Emotet，知名的銀行木馬。

185.49.69.210:80下則沒有太多有效關(guān)聯(lián)信息。

分析下de3a8b1e149312dac5b8584a33c3f3c6這個樣本，該樣本應(yīng)該是 Mac 下的 Netwire RAT，Netwire RAT 是一個公開的木馬。樣本中有一處比較特殊的字符串"hyd7u5jdi8"。

hyd7u5jdi8這個字符比較特殊，其曾在2012年的Netwire樣本中出現(xiàn)，該樣本號稱第一個mac osx及l(fā)inux的樣本。

而該Netwire 木馬之前也被APT組織和網(wǎng)絡(luò)犯罪團(tuán)伙所使用。

例如被認(rèn)為隸屬于伊朗的APT 33所使用， 著名的網(wǎng)絡(luò)犯罪團(tuán)伙Carbanak和尼日利亞黑客組織SilverTerrier。

有意思的是之后名為Vitali Kremez的研究人員介紹該字符串也出現(xiàn)在 FireEye在2017年5月報的CVE-2017-0261 eps 0day攻擊事件中。

而在當(dāng)時的攻擊中最后投遞的樣本正是Netwire。

而從fireeye的報告中可以看到，這起攻擊中出現(xiàn)了三個團(tuán)伙turla，apt28，及一個未知的經(jīng)濟(jì)動機(jī)組織，該組織使用的正是NETWIERE，且其攻擊的目標(biāo)為全球銀行組織在中東的相關(guān)機(jī)構(gòu)。

而我們注意到fireeye在2019年3月底的利用 WinRAR 漏洞CVE-2018-20250的攻擊活動報告中的一起攻擊活動中，提到了利用 WinRAR 漏洞投遞 Netwire 木馬，并且使用了89.34.111.113的 C2，其 C2 IP 地址和此次0day 漏洞的攻擊 C2相同。

總結(jié)

當(dāng)前的證據(jù)似乎還不能完全歸屬到已知的攻擊組織，但結(jié)合上述關(guān)聯(lián)分析，我們可以做出如下推測：

1. 該組織應(yīng)該以經(jīng)濟(jì)牟利為重要攻擊動機(jī)，歷史攻擊目標(biāo)可能為銀行，并延伸至數(shù)字貨幣交易所

2. 從目標(biāo)地域來看，中東似乎是其主要目標(biāo)，但結(jié)合文件上傳地分布，也不排除是全球性的

3. 使用 Netwire 作為其主要的 RAT 工具，值得注意的是 Netwire 是公開的商業(yè)版 RAT，并適配與多個平臺，攻擊者可能使用的帶有特定指紋的版本

4. 攻擊者似乎具備較強(qiáng)的0day 漏洞利用能力，但也不排除其是購買的0day 漏洞，但值得注意的是攻擊者一直處于活躍之中。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對創(chuàng)新互聯(lián)的支持。