黑客利用 Chrome 和 Windows 零日漏洞链，对目标系统进行攻击

卡巴斯基的安全研究人员近日发现了一个名为 PuzzleMaker 的恶意攻击者，他利用 Google Chrome 浏览器和 Windows 10 的零日漏洞链，对全球多家公司进行了有高度针对性的攻击。

据卡巴斯基的报告，由 PuzzleMaker 发起的攻击在 4 月中旬首次被发现，该漏洞链中的第一个漏洞是 CVE-2021-21224，这是 Chrome 浏览器在 90.0.4430.85 版本之前的一个 V8 引擎漏洞。该恶意行为利用 Chrome V8 JavaScript 引擎中的远程代码执行漏洞访问目标的系统。

之后，PuzzleMaker 攻击者使用了定制的权限提升漏洞，通过滥用 Windows 内核中的信息披露漏洞（CVE-2021-31955）和 Windows NTFS 权限提升漏洞（CVE-2021-31956）来破坏最新的 Windows 10 版本，其中前者通常用于披露运行进程的 Eprocess 结构内核的地址，后者可被利用来获得更高系统权限。

当把上述这些漏洞联系在一起时，攻击者就能够跳出沙盒并在目标机器上以系统权限执行恶意代码。

除了上述漏洞利用外，整个攻击链还包括其他 4 个恶意软件模块，即 Stager、Dropper、Service 和 Remote Shell。Stager 模块用于通知用户提取成功，还从远程站点下载并执行更复杂的恶意软件 Dropper 模块。

每个 stager 模块都会向目标分发使用自定义配置的 blob，其中包括 C&C URL、会话 ID、解密下一个恶意软件阶段的密钥以及其他信息。

Dropper 模块用于安装两个伪装成微软官方的 Windows 操作系统文件的可执行程序。其中一个程序 (WmiPrvMon.exe, % SYSTEM) 能够注册为一项服务，并用作第二个可执行文件的启动程序。第二个可执行文件 (% SYSTEM % wmimon.dll) 具有远程 shell 的功能，可以被视为攻击的主要负载。

远程 shell 模块具有指向命令和控制服务器 (media-seoengine.com) 的硬编码 URL。C&C 服务器和客户端之间的所有通信都经过身份验证和加密。远程 shell 模块可以下载和上传数据、启动和停止程序、休眠指定时间段以及在必要时从受感染的计算机中删除自身。

目前，Google 已在 4 月 20 日针对 Chrome V8 引擎中的 CVE-2021-21224 漏洞推出了软件更新，微软也已经于周二发布的 6 月补丁中修复了 CVE-2021-31955 和 CVE-2021-31956 漏洞。建议所有未更新的用户都更新这些补丁，以避免遭遇恶意软件攻击。