WF曲速未來披露:看如何通過‘隱藏的蜜蜂’進行新型漏洞的傳播區塊鏈
區塊鏈安全社區WF曲速區表示最近又有發現了一個試圖利用CVE-2018-4878(FlashPlayer中的漏洞)的偷渡式下載攻擊,其序列與我們當前跟蹤的任何漏洞利用工具包模式都不匹配。經過調查發現是奇虎360在2017年底引用的現有開發框架的一部分。當時,有效載荷似乎是推廣廣告軟件的木馬。
前言:
區塊鏈安全社區WF曲速區表示最近又有發現了一個試圖利用CVE-2018-4878(Flash Player中的漏洞)的偷渡式下載攻擊,其序列與我們當前跟蹤的任何漏洞利用工具包模式都不匹配。經過調查發現是奇虎360在2017年底引用的現有開發框架的一部分。當時,有效載荷似乎是推廣廣告軟件的木馬。
自上次記錄以來,雖然分發方法類似,但所使用的漏洞已經發生了變化。我們目前看不到有趣的方面是使用動態加密的打包漏洞,這需要來自后端服務器的密鑰來解密和執行它們。
這次提供的有效負載(payload)也不同尋常,因為它不是一個標準的PE文件。相反,它更像是一個多階段自定義可執行格式,還可以作為下載程序來檢索隱藏蜜蜂礦工僵尸網絡背后的威脅演員使用的LUA腳本。這可能是第一個用于奴役機器挖掘加密貨幣的bootkit案例。
廣告系列概述
攻擊者利用成人網站的惡意廣告將其受害者吸引到釣魚頁面。我們認為此廣告系列主要針對亞洲國家地區用戶的,根據所投放的廣告和遙測的數據。聲稱是在線約會服務的服務器包含著惡意的iframe,其主要負責利用和感染用戶。
Traffic play-by-play
IE漏洞利用
除了少數例外,漏洞利用工具包通常會混淆他們的登陸頁面和漏洞利用。但是在這里威脅使用加密并要求與后端服務器進行密鑰交換以解密和執行漏洞。以往,Angler,Nuclear和Astrum漏洞利用工具包濫用Diffie-Hellman類似的方式密鑰交換協議,以防止分析師重放惡意流量。惡意代碼的執行從具有嵌入式加密塊的網頁開始。該塊采用Base64編碼,然后使用兩種算法之一進行加密:RC4或Rabbit。
在解密之后,該塊將被執行。您可以在此處找到正在運行的Java Script的解碼版本。正如您在腳本中看到的,它會生成隨機會話密鑰,然后使用攻擊者的公共RSA密鑰對其進行加密:
加密的密鑰被傳遞到下一個函數并轉換為JSON格式,對硬編碼的URL執行POST請求:
如果我們查看客戶端和服務器之間的流量(客戶端發送,我們可以看到加密的“key”和服務器響應“value”):
服務器端
1.使用攻擊者的私有RSA密鑰,服務器解密傳遞的會話密鑰。
2.使用選擇的對稱算法(Rabbit或RC4)加密漏洞利用內容。
3.將加密的內容返回給客戶端。由于客戶端在內存中仍然具有未加密的密鑰版本,因此它能夠解密并執行漏洞利用。但是,剛捕獲流量的研究人員無法檢索原始會話密鑰,并且無法重現漏洞。值得慶幸的是,在動態分析期間捕獲了漏洞。并且我們認為解密的漏洞是CVE-2018-8174,因為測試機器patchedi對CVE-2016-0189的攻擊成功了。
Flash漏洞利用
這個較新的Flash漏洞利用程序(CVE-2018-4878)在奇虎360記錄的時候并不是漏洞利用工具包的一部分,而且似乎是最近增加其功能的補充。shellcode嵌入在漏洞利用中的是下一階段的下載程序。成功利用后,它將在以下URL檢索其有效負載:
這個擴展名為.wasm的文件,假裝成是一個Web Assembler模塊。但事實上,它是完全不同的東西,似乎是一個自定義的可執行格式,或一個修改過的無標題PE文件。它從執行期間將需要的DLL的名稱開始:
如你所見,它加載了內閣。用于解壓縮cabinet文件的.dll模塊。在后面的部分中,我們看到了用于通過HTTP協議進行通信的APls和字符串。我們還發現了對“dllhost.exe”和“bin / i386 / core.sdb”的引用。
很容易猜到這個模塊將下載并通過dllhost.exe運行。另一個有趣的字符串是Base64編碼的內容:
解碼后的內容展現了更多的網址:
看看Fiddler捕獲的流量,我們發現這模塊確實是在查詢這些URL:
請求來自dllhost.exe,這意味著上面的可執行文件被注入惡意代碼。文件qlfw.wasm與Web Assembly是沒有任何共同之處。事實上,它是一個Cabinet文件,包含內部路徑下的打包內容:bin / i386 / core.SDB。從內部看,我們發現了相同的自定義可執行格式,從DLL名稱開始:
然后,HTTP流量停止。這是此問題的另一個有趣方面,因為威脅參與者可能試圖通過假裝使用SLTP協議來檢索實際有效負載來隱藏流量,這可以在從核心內部的Cabinet文件中提取的字符串core.sdb中看到這一點:
該主機名解析為67198.208 [.] 110:
來自沙盒計算機的加密TCP網絡流量顯示二進制有效負載的方式檢索:
整個開發和有效負載檢索過程相當復雜,特別是考慮到此驅逐活動背后的預期目的。受感染的主機被指示開采加密貨幣:
這個礦工的獨特之處在于它是通過使用bootkit來實現持久性,如本文所述。受感染的主機將在每次操作系統引導時更改其主引導記錄以啟動礦工。
對簡單有效負載的復雜攻擊
這種攻擊在許多層面上都很有趣,因為它在漏洞利用交付部分中使用了不同的技術以及如何打包有效載荷。根據種種遙測,都認為它是集中在少數幾個亞洲國家,這在考慮其有效載荷時是有意義的。它還表明威脅行動者并沒有完全放棄漏洞利用工具包,盡管在過去幾年有明顯的下降趨勢。
Protection:
Malwarebytes檢測到IE和Flash漏洞,導致感染鏈在早期被停止。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
