卡巴斯基企业端点安全方案中的行为威胁检测和利用预防技术，已经监测到朝向多家企业的高针对性攻击浪潮。此类攻击通过利用谷歌的 Chrome 浏览器和微软 Windows 中的漏洞，发动一系列零日攻击。目前，随着6月8日微软发布更新，针对该漏洞的补丁已经可用。因此我们建议大家同时更新浏览器和操作系统。我们把这类攻击幕后的黑手称为 PuzzleMaker。

█ PuzzleMaker 攻击为何如此危险？

攻击者使用谷歌 Chrome 漏洞在目标计算机上执行恶意代码，并通过利用两个 Windows 10 中的漏洞逃过“沙箱”，获得系统权限。接下来他们将第一个恶意模块（即所谓的 stager）以及一个定制的配置块（命令服务器地址，会话ID，下一个模块的解密密匙等）一同上传到受害者的机器。

感染成功后，stager 会通知攻击者，随后下载并解密一个 dropper 模块，dropper 模块会安装两个可执行文件，并使其获得合法身份。第一个可执行文件是 WmiPrvMon.exe，注册为一个服务，然后运行第二个可执行文件wmimon.dll，这个文件是攻击的主要 payload，被设计成了一个远程 Shell。

攻击者使用该 payload 将目标计算机完全控制。他们可以上传下载文件、创建进程、在指定的时间内休眠，甚至可以擦除机器上任何受攻击的痕迹。此恶意组件通过加密连接与命令服务器建立通信。

█可攻击的漏洞有哪些？

不幸的是，我们的专家无法分析用于攻击谷歌 Chrome的远程代码执行漏洞，但确实做了完整的调查并得出了结论：攻击者可能利用了 CVE-2021-21224 漏洞。如果您对他们得出此结论的方法和原因感兴趣，这里推荐您阅读在 Securelist 上的这篇文章，了解有关他们推理过程的信息。无论如何，在我们发现这波攻击之后不到一周的时间里，谷歌就于2021年4月20日发布了针对此漏洞的补丁。

提升权限攻击一次会利用两个 Windows 10 漏洞。第一个是CVE-2021-31955 漏洞，它是 ntoskrnl.exe 文件中的信息泄露漏洞。该攻击利用它来确定已执行进程的 EPROCESS 结构内核的地址。第二个漏洞 CVE-2021-31956 在ntfs.sys驱动程序里，属于堆溢出类漏洞。Malefactors 将其与 Windows 通知工具一起用来将数据读取和写入内存。此漏洞适用于最常见的 Windows 10 版本: 17763 (红石5) 、18362 (19H1) 、18363 (19H2) 、19041 (20H1) 和19042 (20H2)。19043 (21H1) 也很容易受到攻击，虽然我们的技术尚未检测到针对此版本的攻击，但该版本是在我们检测到 PuzzleMaker 之后发布的。Securelist 上的一篇文章给出了详细的技术说明，并列出了妥协指标(IOC)。

█防止此类攻击及类似的攻击

为了避免您的企业遭到 PuzzleMaker 的漏洞攻击，请第一时间更新 Chrome 并通过微软的网页安装可以解决 CVE-2021-31955 和 CVE-2021-31956 漏洞的操作系统补丁。

也就是说，为了避免其他零日漏洞的威胁，各类企业都应该使用网络安全产品，以通过分析可疑行为来检测这种攻击企图。比如，我们的产品通过使用卡巴斯基企业端点安全中的行为检测引擎技术与攻击预防子系统，对此类攻击进行侦测。