当前位置:主页 > SEO优化 >

漏洞工具包利用广告位挂马针对国内用户传播Cerber40勒索软件

奕星seo伪原创
作者: 奕星SEO 分类: SEO优化 发布时间: 2019-10-18 20:53 内容来源:网络整理阅读量:

  十月初以来,360安全团队监测到一个通过色情网站广告利用漏洞攻击包散布Ceber系列勒索软件的挂马行为,其技术手段高超,漏洞触发率高,缺乏专业安全软件保护的网友极易中招。此次挂马也是360QEX团队第二次检测到国内大范围利用漏洞攻击包进行挂马的行为,相比之前我们检测到NeutrinoEK挂马行为[1],又有着新的特点,本文将着重分析其利用漏洞挂马手段。

  这次挂马主要是依靠在线广告来进行传播,当你浏览部分色情网站的时候,一旦触发点击页面事件,便会弹出一个广告页面,其中一个广告页面便会跳转到这个攻击包的Gate跳转页面随后加载攻击代码,其攻击流程图如图1所示。

  Gate跳转页面的主要功能是根据IP、浏览器User-agent过滤请求,例如使用美国IP代理访问该页面,则返回的完全是一个正常的页面,但是如果直接使用国内IP访问,则会重定向至挂马页面,甚至有段时间内,对于IE浏览器直接跳转到一个无法访问的统计页面。

  接下来的Index.html页面开始引入攻击代码,其同时含有一段VBScript和Javascript代码,这两部分代码均被混淆过。其中Javascript代码功能较为简单,主要功能是采用兼容方式去加载aa.swf;而VBScript代码则是基于CVE-2016-0189的POC修改而来,并下载执行exe。CVE-2016-0189漏洞是近期非常流行的IE漏洞,该漏洞利用简单影响范围广,目前已经普遍的被各个攻击包用于替换CVE-2014-6332漏洞[2]。

  随后访问的aa.swf文件会针对用户本地不同的Flash版本(包含在HTTP Header中的x-flash-version字段中)返回不同的文件版本,如果不带版本号,则返回一个加载ab.swf的Flash。

  首先看下样本f84b34835f957a7c5677712804c02bb3的代码,整体代码比较简单,其功能是在服务器没有获得Flash版本信息的情况下,获取Flash版本信息作为拼接到ab.swf后面,形如hxxp://202.168.154.205/ab.swf?win 22,0,0,209,然后加载该文件。该Flash代码中最明显的特征是采用了针对字母和数字的凯撒密码来对字符串进行加密解密,凯撒密码是最基础的加解密算法,但是在攻击包中很少利用,这也是该攻击包的一个特征。

  余下的各个漏洞Flash,采用了DComSoft SWF Protector和secureSWF的加密,加大了分析难度,DComSoft SWF Protector会把原始的Flash文件加密分散到多个BinaryData中;而secureSWF则会提取所有的字符串常量加密保存在BinaryData中并混淆代码流程,导致难以直接反编译分析。通过对这些Flash文件的解码,可以确认表1中所示的各个漏洞。这些挂马漏洞,与我们之前分析的NeutrinoEK所使用的漏洞一致,请具体参考[1]。

  漏洞触发后,会调用powershell和VBScript脚本下载执行勒索软件。加密的后缀是随机的字符,随后用户桌面背景会换成相关提示,并弹出一个对话框,可见这个勒索软件是cerber4 [3]。这个对话框会自动根据当前系统语言,返回对应的版本翻译内容,而且其中文提示还非常本地化,很温馨的说如果不会安装使用Tor浏览器,请访问百度搜索”怎么安装Tor浏览器“,访问提示的网页,会提示支付1比特币,更详细的cerber4的分析请参考[5]。

  这次挂马攻击利用广告系统进行传播,用户的触发量非常可观,同时因为广告投放的不确定性,也给我们追踪挂马来源带来了非常大的难度,导致我们一度难以定位。

  与之前我们对NeutrinoEK分析对比可见,目前该攻击包采用了目前流行的漏洞组合,漏洞利用水平非常高,但是这个攻击包与NeutrinoEK相比又有不同特点,其自我保护措施较差,虽然使用了Gate技术来过滤部分请求,但是没有采用常见的ShadowDomain[4]技术去不停变换挂马网址,而使用了固定的ip网址;Flash文件也是不需要参数传递就可以运行,非常容易进行重放分析;也没有常见的利用IE信息泄露漏洞对系统环境进行检测的代码,因此整体给人一种技术水平错位的感觉。


本文链接地址:http://www.seohuizhou.com/seoyouhua/14432.html
上一篇:<<商水关键词优化价格公司动态
下一篇:柏厨时光印橡荣获2018>>