漏洞工具包利用广告位挂马针对国内用户传播

2019年05月15日 来源:

1、概述

十月初以来,360安全团队监测到一个通过色情站广告利用漏洞攻击包散布Ceber系列勒索软件的挂马行为,其技术手段高超,漏洞触发率高,缺乏专业安全软件保护的友极易中招。此次挂马也是360QEX团队第二次检测到国内大范围利用漏洞攻击包进行挂马的行动,相比之前我们检测到NeutrinoEK挂马行动[1],又有着新的特点,本文将侧重分析其利用漏洞挂马手段。

二、挂马分析

这次挂马主要是依托广告来进行传播,当你阅读部分色情站的时候,一旦触发点击页面事件,便会弹出一个广告页面,其中一个广告页面便会跳转到这个攻击包的Gate跳转页面hxxp://,随后加载攻击代码,其攻击流程图如图1所示。

图1 攻击流程

Gate跳转页面的主要功能是根据IP、浏览器User-agent过滤请求,例如使用美国IP代理访问该页面,则返回的完全是一个正常的页面,但是如果直接使用国内IP访问,则会重定向至挂马页面,甚至有段时间内,对IE浏览器直接跳转到一个无法访问的统计页面。

接下来的ml页面开始引入攻击代码,其同时含有一段VBScript和Javascript代码,这两部份代码均被混淆过。其中Javascript代码功能较为简单,主要功能是采用兼容方式去加载f;而VBScript代码则是基于CVE-的POC修改而来,并下载执行exe。CVE-漏洞是近期非常流行的IE漏洞,该漏洞利用简单影响范围广,目前已普遍的被各个攻击包用于替换CVE-漏洞[2]。

图2 VBScript下载代码

图3 CVE-利用代码

随后访问的f文件会针对用户本地不同的Flash版本(包括在HTTP Header中的x-flash-version字段中)返回不同的文件版本,如果不带版本号,则返回一个加载f的Flash。

表1 不同版本获取的Flash文件

首先看下样本f84b34835f957a7cc02bb3的代码,整体代码比较简单,其功能是在服务器没有获得Flash版本信息的情况下,获得Flash版本信息作为拼接到f后面,形如hxxp://202.168.154.205/f?win 22,0,0,209,然后加载该文件。该Flash代码中最明显的特点是采取了针对字母和数字的凯撒密码来对字符串进行加密解密,凯撒密码是最基础的加解密算法,但是在攻击包中很少利用,这也是该攻击包的一个特征。

图4 加载Flash代码

余下的各个漏洞Flash,采用了DComSoft SWF Protector和secureSWF的加密,加大了分析难度,DComSoft SWF Protector会把原始的Flash文件加密分散到多个BinaryData中;而secureSWF则会提取所有的字符串常量加密保存在BinaryData中并混淆代码流程,导致难以直接反编译分析。通过对这些Flash文件的解码,可以确认表1中所示的各个漏洞。这些挂马漏洞,与我们之前分析的NeutrinoEK所使用的漏洞一致,请具体参考[1]。

对f文件,如果是通过hxxp://202.168.154.205/f?win 22,0,0,209访问实际返回的是404毛病,怀疑可能其后台处理代码逻辑存在问题(理想情况下应该返回类似f的不同Flash攻击代码),但是如果不带参数的直接访问址hxxp://202.168.154.205/f,则返回的是文件e64501e845c57e87d69eb,与某个版本的f文件一致。

图5 漏洞触发执行流程

漏洞触发后,会调用powershell和VBScript脚本下载执行勒索软件。加密的后缀是随机的字符,随后用户桌面背景会换成相关提示,并弹出一个对话框,可见这个勒索软件是cerber4 [3]。这个对话框会自动根据当前系统语言,返回对应的版本翻译内容,而且其中文提示还非常本地化,很温馨的说如果不会安装使用Tor浏览器,请访问百度搜索怎么安装Tor浏览器,访问提示的页,会提示支付1比特币,更详细的cerber4的分析请参考[5]。

图6 勒索提示

三、攻击包特点分析

这次挂马攻击利用广告系统进行传播,用户的触发量非常可观,同时因为广告投放的不确定性,也给我们追踪挂马来源带来了非常大的难度,致使我们一度难以定位。

与之前我们对NeutrinoEK分析比较可见,目前该攻击包采用了目前流行的漏洞组合,漏洞利用水平非常高,但是这个攻击包与NeutrinoEK相比又有不同特点,其自我保护措施较差,虽然使用了Gate技术来过滤部份请求,但是没有采取常见的ShadowDomain[4]技术去不停变换挂马址,而使用了固定的ip址;Flash文件也是不需要参数传递就可以运行,非常容易进行重放分析;也没有常见的利用IE信息泄露漏洞对系统环境进行检测的代码,因此整体给人一种技术水平错位的感觉。

另外一个特点是当以美国的代理IP访问时,会直接获得404,从提交到VT的记录是由服务器直接返回404错误,可见该攻击包针对不同地区的IP有做区别处理,反倒是大陆、台湾、韩国的IP可以正常访问,因此我们怀疑这次是对国内的定向挂马。

图8 VT提交记录

整体而言,虽然所使用的漏洞是常见的并且符合当前活跃攻击包的技术水平,但是其址特征、页面流程和参数传递等技术特点却与目前活跃的NeutrinoEK、RigEK、MagnitudeEK不同,比较其Flash漏洞利用代码与Magnitude有一定的类似度,对此我们将继续关注。

4、总结

勒索软件获得的收益非常大,因此往往会采取最高级复杂的攻击手段来广泛传播和躲避查杀。近期勒索软件又有活跃的趋势,此次挂马行为虽然很快被我们发现,但是上依然不断有用户反馈中招,该挂马截至目前为止仍然处于活跃状态,我们也一直在持续对其进行监测。

为了防止感染勒索软件,请大家务必及时更新Flash并打上最新的系统补丁,不要随意单击运行邮件中的文件。而很多挂马是通过广告服务进行传播,所以尽量选择具有广告拦截功能的浏览器避免打开无用的广告。

图8 360安全卫士拦截漏洞利用效果图

目前360安全卫士会结合QEX非PE引擎静态扫描功能和动态行动检测,能够有效拦截这类漏洞攻击并阻止歹意软件的运行,在最新版360安全卫士11.0中还提供了反勒索软件服务,如果用户在开通反勒索软件服务的情况下仍然中毒造成损失的,360会负责赔付最高3比特币(约13000元人民币)的赎金,并协助还原加密文件。

本文由360 QEX引擎团队撰写,感谢360追日团队和络安全研究院在本次挂马来源定位进程中的技术支持。

参考文献

[1] NeutrinoEK来袭:爱拍遭敲诈者病毒挂马

[2] CVE- (Internet Explorer) and Exploit Kit

[3] Several Exploit Kits Now Deliver Cerber 4.0

[4] Threat Spotlight: Angler Lurking in the Domain Shadows

[5] 【木马分析】Cerber敲诈者家族再升级:Cerber4变身随机后缀

附录

IOC信息:

乳房胀痛吃啥药
什么会导致月经量多
乳房胀痛的症状
相关文章
  • 沪港通或于10月13日登场
    沪港通或于10月13日登场

    “现在,距离10月13日沪港通正式登场,时间已经非常紧迫了,所以希望大家珍惜此次培训的机会。”7月24日、25日,上海证券交易所组织各家券商在广州举行了为期两天的沪港通讲师培训,在此次培训过程中,一位讲师对券商的这一句提醒,却不经意间“宣布”了沪...

  • 延吉上元节民俗活动异彩纷呈延边新闻网报道
    延吉上元节民俗活动异彩纷呈延边新闻网报道

    秦俑/图为进一步挖掘、传承、弘扬中国朝鲜族民俗文化,共同庆祝“上元节”的到来,2月24日晚,由延吉市人民政府、延边州旅游局主办,延吉市委宣传部、市文体局、市旅游局、市老龄办承办的上元节(元宵节)民俗活动在延吉市延虹桥南侧布尔哈通河冰面上隆重...

  • 昆明文学年会举行
    昆明文学年会举行

    昆明文学年会举行本报讯 都市时报蔡晓玲报道 昨日,2015年昆明文学年会在呈贡民族大学国际交流中心举行,来自北京、吉林以及玉溪、大理等地的作家一百余人参与年会,年会公布了2015年昆明文学年会奖获奖名单。昆明文学年会由《滇池》杂志社和昆明市作家协会...

  • 湖南景区或可向征信机构通报游客不文明行为
    湖南景区或可向征信机构通报游客不文明行为

    游客严重不文明行为可向社会公布湖南《旅游法》实施办法立法听证 预计年内出台 梁兴9月9日上午,《湖南省实施〈中华人民共和国旅游法〉办法(草案)》在长沙举行立法听证会,来自景区、自驾游协会、旅行社、交通运输业、高校、媒体、法律界的11位听证代表...

  • 南京最惨新手被罚3250元记18分拘留15天
    南京最惨新手被罚3250元记18分拘留15天

    司机一次被罚3250元 现代快报 施向辉 摄违停撒尿被逮个正着 现代快报 施向辉 摄最严交规实施后,一些司机被罚得哭爹叫娘。这不,昨天又有个新手被查到了。这是个90后新手,他帮朋友开一下车,结果却面临3250元的罚款和15天的行政拘留,驾照也会被记18分,必须...

  • 金英兰法实施令审议经由过程韩国迎来最严反腐法案
    金英兰法实施令审议经由过程韩国迎来最严反腐法案

    “金英兰法”实施令审议经由过程 韩国迎来最严反腐法案□ 本报驻韩国 单士磊韩国总理黄教安6日掌管召建国务集会审议经由过程了《制止不合法拜托与收受财物法》(又称“金英兰法”)的实施条例。至此,金英兰法已走完整部法定法式,将于9月28日起实行,韩国...