内存安全周报第149期 | 新型Inception攻击泄露所有AMD Zen处理器的机密数据
一、新型Inception攻击泄露所有AMD Zen处理器的机密数据 (8.8)
近日,研究人员发现了一种新型Inception瞬态执行攻击,该攻击针对所有AMD Zen处理器,能够在非特权进程中泄露特权敏感信息和数据。
详细情况
Inception瞬态执行攻击利用现代处理器的推测执行功能,极大提升了CPU性能,能够预测在较慢操作完成前的下一步操作。如果预测正确,CPU会直接执行下一步操作以优化性能;如果预测错误,CPU则回滚变更并使用新结果继续操作。然而,推测执行带来的问题在于可能为攻击者提供了观察和分析的窗口,从而检索原本受保护的重要数据。
研究人员将一项名为“幻影推测”(CVE-2022-23825)的旧技术与名为"Training in Transient Execution"(TTE)的新型瞬态执行攻击相结合,构建了更加强大的“Inception”攻击。"幻影推测"使攻击者在无需设置分支的情况下触发错误预测,即在任意XOR指令中创建推测执行周期(被称为“瞬态窗口”)。"TTE"则通过向分支预测器注入新的预测,操纵未来的错误预测,从而构建可被利用的推测执行。
"Inception"攻击(编号为CVE-2023-20569)是一种结合上述概念的创新性攻击。攻击者能够欺骗CPU,使其误将XOR指令(一种简单的二进制操作)当作递归调用指令,导致CPU将返回栈缓冲区溢出至攻击者控制的目标地址,从而泄漏任意非特权进程上的数据。
值得注意的是,用户即使应用所有已知的推测执行攻击(如Spectre)或瞬态控制流劫持(如自动IBRS),此类泄漏仍有可能发生。
此外,通过"Inception"攻击实现的数据泄漏速率为每秒39字节,即窃取16字符密码仅需0.5秒,窃取RSA密钥则需6.5秒。
参考链接
二、黑客利用开源Merlin后渗透工具包发动网络攻击(8.9)
近日,乌克兰警告称,黑客正利用Merlin开源后渗透工具包和指挥控制框架,对国家组织展开网络攻击。
详细情况
Merlin是一个基于Go语言编写的跨平台后渗透工具包,用户可在GitHub免费获取。Merlin为网络安全专业人员提供大量文档,适用于红队演练。
该工具包功能丰富,允许红队成员(及攻击者)在受感染网络中建立立足点。Merlin具有以下特点:
·支持基于TLS的HTTP/1.1和HTTP/3(基于QUIC的HTTP/2)的C2通信。
·使用PBES2(RFC 2898)和AES密钥包装(RFC 3394)加密代理流量。
· 采用OPAQUE非对称密码认证密钥交换(PAKE)和加密JWT,确保用户身份验证的安全性。
· 提供CreateThread、CreateRemoteThread、RtlCreateUserThread和QueueUserAPC等Shellcode执行技术支持。
·支持域前置技术,绕过网络过滤。
·集成Donut、sRDI和SharpGen支持。
·动态更改代理的JA3哈希和C2流量消息填充,以躲避网络检测。
据了解,攻击者目前正滥用"Merlin",以增强网络攻击行动,并通过已感染网络传播。研究人员指出,这些网络攻击行动最初伪装成钓鱼邮件,向收件人提供有关如何加固Microsoft Office套件的使用指南。
这些电子邮件包含CHM附件,一旦被打开,将执行JavaScript代码,接着触发一个PowerShell脚本,该脚本用于提取、解密和解压一个包含"ctlhost.exe"的GZIP归档文件。如果收件人运行此可执行文件,其计算机将被感染为"MerlinAgent",攻击者将获得对受感染设备和数据的访问权限,并在网络中水平传播。
