快速分析了CANVAS的攻击框架

日期:2021-03-06 17:02:13 来源:互联网 编辑:小狐 阅读人数:401

快速分析了CANVAS的攻击框架(图1)

3月3日,绿盟科技研究团队在对网络安全事件舆情监控中发现著名的商业渗透框架CANVAS源代码发生泄露,绿盟科技M01N蓝军研究团队第一时间对该事件进行了跟踪,快速分析了CANVAS的攻击框架、所涉及的漏洞和技术细节。

Immunity CANVAS是一套受信任的商业安全评估攻击框架,每月都会发布稳定版本,它允许专业人员进行渗透和对手模拟攻击。此次CANVAS的泄露版本为7.26,日期为2020年9月,包含1000+个漏洞利用代码,使用CANVAS成功攻陷后,可以抓取屏幕截图,转储密码凭据,操纵目标文件并提升特权。攻击者可以在目标和目标整个网络区域之间隐蔽连接。另外值得注意的是其中包含Spectre CPU漏洞的可用EXP漏洞利用模块。CANVAS由Immunity,该公司由前NSADave Aitel创立,于2019年出售给CyxteraTechnologies,Aitel于2020年底离开了该公司。

1 CANVAS的框架及主体功能

CANVAS框架主体及模块均使用python,支持跨平台安装使用,包括Windows, Linux和MacOSX等, 了GUI和命令行来进行操作使用。框架所有功能模块如下:

快速分析了CANVAS的攻击框架(图2)

CANVAS主要以漏洞利用为主,功能完整支持攻击链生命周期,包括C&C、权限提升、权限维持、凭证获取、横向移动、防御规避、信息收集、隐蔽隧道及部分域林攻击功能。框架设计以资产节点方式进行攻击过程控制和记录,各节点的远程及本地攻击操作具备完善的攻击日志记录。

远程漏洞利用、横向移动及C&C功能复现:

快速分析了CANVAS的攻击框架(图3)

成功执行DCSync在环境获取AD靶机用户的密码Hash。

快速分析了CANVAS的攻击框架(图4)

快速分析了CANVAS的攻击框架(图5)

2 漏洞利用模块

本次泄漏的CANVAS框架源码为次新版本,除自带漏洞利用模块外还包含两大第三方漏洞利用模块,经统计含有CVE编号的漏洞共计929个,框架自带漏洞利用库中包括617个漏洞,第三方漏洞利用库包含333个漏洞,官网上针对工控设备的漏洞利用包Gleg 在本次泄漏中未涉及。

快速分析了CANVAS的攻击框架(图6)

快速分析了CANVAS的攻击框架(图7)

这些漏洞模块在CANVAS中以利用目的大致分为四类,分别针对不同的攻击场景与目标。

快速分析了CANVAS的攻击框架(图8)

首先我们回顾一下CVE-2017-5715 Spectre CPU漏洞,该漏洞是Intel,AMD和ARM处理器体系结构中的硬件设计缺陷,它允许运行在同一上的不良应用程序中的代码不同应用程序的CPU级别之间的隔离,从其他应用程序中窃取敏感数据。它的发现以及Meltdown漏洞,被认为是现代CPU演进和历史上的里程碑时刻,有效地迫使CPU供应商重新考虑他们设计处理器的方法,从而明确表明他们不能只专注于性能,而损害了数据安全性。Spectre漏洞从17年被公开开始,研究人员对外公开的均为无害的POC代码,也一直没有发现有被在野攻击利用的证据。

上个月国外安全研究员Voisin发现VirusTotal上的一份Linux Spectre漏洞EXP代码,可以转储/etc/shadow的内容,而近日Dave Aitel的一条推文中,前Immunity首席执行官似乎证实了Voisin的发现确实是他的前公司在2018年2月大力宣传的CANVAS Spectre模块。

快速分析了CANVAS的攻击框架(图9)

当然我们也确认了本次泄露的CANVAS版本确实含有Spectre漏洞EXP插件及代码,代码备注该EXP代码实现在2018年3月完成。

快速分析了CANVAS的攻击框架(图10)

快速分析了CANVAS的攻击框架(图11)

3 其他重要功能模块

3.1 MOSDEF

MOSDEF后门木马是CANVAS在命令控制环节的主要模块,其支持主流操作,对于一些较冷门的处理器架构亦有较完善的支持。

快速分析了CANVAS的攻击框架(图12)

以防御规避技术研究与攻击检测的视角来看,MOSDEF具有基本的杀软规避功能,支持采用DNS等比较隐蔽的通信方式,具有一定防御规避的能力。其采用的持久化技术等较为常见,所生成的payload类型并不多,但其生成的一些载荷文件在VirusTotal等平台仍具有较好的免杀效果。

根据VirusTotal检测结果,默认生成的Windows x86 版本MOSDEF可执行文件载荷的检出率相对可观。

快速分析了CANVAS的攻击框架(图13)

Powershell版MOSDEF木马具有命令执行、文件上传、执行shellocode等攻击功能,在VisualTotal中具有较低的检出率。

快速分析了CANVAS的攻击框架(图14)

3.2 RootKit

CANVAS自带windows与linux的rootkit模块,其中windows仅有物理内存dump的功能,而linux中的rootkit功能要丰富的多。linux平台的rootkit模块以源码的形式分发,每次使用需要针对目标的内核版本进行重新编译内核模块,支持以下功能:

1. 指定名称的文件隐藏

2. 后门进程及子进程PID隐藏

3. TCP通讯隐藏

4. MOSDEF连接后门

利用CANVAS自带的rootkit模块,攻击者可以实现持久化与攻击行为隐藏,增加防守与溯源难度。

3.3 VisualSploit

泄漏CANVAS包含名为VisualSploit的可视化编程工具,该工具可以进行图形化的exploit,设计程序执行流程,操作payload内存布局,最终一键生成可执行python脚本文件。

快速分析了CANVAS的攻击框架(图15)

Canvas Strategic允许在Canvas的多个实例之间进行实时通信,并与中央实例共享信息(目标信息,攻击操作,获得的权限)该中央指挥实例是从Canvas运行Commander模块的机器。当多人作战时,需要对进度和成果进行协协作时,此功能特别有用。此外,它还可以用作多个实例的中央活动监视和日志记录,也包含一个简单聊天。

快速分析了CANVAS的攻击框架(图16)

4 警惕CANVAS被暴露及滥用带来的风险

本次CANVAS框架源码泄露事件是继NSA泄露DanderSpritz框架后的又一个完整网络攻击框架泄露事件,其中所涉及的TTPs技术已被高度武器化。截止本文公开时我们还暂未实现对CANVAS中的漏洞EXP、持久化技术、隧道技术等技术的全面深入的分析。同时可以看到,本次泄露的漏洞EXP包含全网第一个被公开的针对Spectre CPU漏洞的可利用EXP,另外Powershell版MOSDEF木马在VisualTotal中也同样具有较低的检出率,这些工具都可以直接被恶意攻击者滥用,从而导致严重的安全事故,建议各安全厂商协助企业客户积极防御,防患于未然。绿盟科技M01N蓝军团队将继续跟踪深入分析该框架的内容。

本文相关词条概念解析:

漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说,比如在IntelPentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用,威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。。

网友评论
相关文章
55岁的她上身微微发福,脸部肉感明显,烘托出了神秘感

55岁的她上身微微发福,脸部肉感明显,烘托出了神秘感

55岁的她上身微微发福,脸部肉感明显,烘托出了神秘感[详情]

未来一周,的魅力是慢慢积累的,生活中的好运将持续,双子座的人得到财神的关照

未来一周,的魅力是慢慢积累的,生活中的好运将持续,双子座的人得到财神的关照

未来一周,的魅力是慢慢积累的,生活中的好运将持续,双子座的人得到财神的关照[详情]

4月中旬,此情绵绵,天长地久,喜撞桃花运,月老偏爱

4月中旬,此情绵绵,天长地久,喜撞桃花运,月老偏爱

4月中旬,此情绵绵,天长地久,喜撞桃花运,月老偏爱[详情]

推进优秀传统文化的弘扬和传承

推进优秀传统文化的弘扬和传承

推进优秀传统文化的弘扬和传承[详情]

未来两年,好运来袭,财运超旺,存款翻倍涨,必大富大贵的双子座

未来两年,好运来袭,财运超旺,存款翻倍涨,必大富大贵的双子座

未来两年,好运来袭,财运超旺,存款翻倍涨,必大富大贵的双子座[详情]

4月,实力越来越强,将会遇见真爱,事业腾飞

4月,实力越来越强,将会遇见真爱,事业腾飞

4月,实力越来越强,将会遇见真爱,事业腾飞[详情]

我可以提供该笔订单的发货和进货凭证,微店却以套现为由克扣违约金

我可以提供该笔订单的发货和进货凭证,微店却以套现为由克扣违约金

我可以提供该笔订单的发货和进货凭证,微店却以套现为由克扣违约金[详情]

三天后,4个星座,易得罪人,管好自己,好好沟通,低调行事

三天后,4个星座,易得罪人,管好自己,好好沟通,低调行事

三天后,4个星座,易得罪人,管好自己,好好沟通,低调行事[详情]

所以说最容易被爱情蒙蔽双眼的星座,拥有的鱼的记忆,却拥有一颗真心

所以说最容易被爱情蒙蔽双眼的星座,拥有的鱼的记忆,却拥有一颗真心

所以说最容易被爱情蒙蔽双眼的星座,拥有的鱼的记忆,却拥有一颗真心[详情]

生肖马4月,他们运势尤其旺盛,在工作的时候会非常地认真投入,生财有门扬眉吐气

生肖马4月,他们运势尤其旺盛,在工作的时候会非常地认真投入,生财有门扬眉吐气

生肖马4月,他们运势尤其旺盛,在工作的时候会非常地认真投入,生财有门扬眉吐气[详情]

网站地图     Copyright     2016-2018  资讯网   All rights reserved.