如何通过‘隐藏的蜜蜂’进行新型漏洞的传播?

曲速未来安全区
曲速未来安全区 机构得得号

Aug 12, 2018 专注于为读者提供区块链安全领域最新讯息

摘要: 利用CVE-2018-4878(Flash Player中的漏洞)的偷渡式下载攻击,其序列与我们当前跟踪的任何漏洞利用工具包模式都不匹配。经过调查发现是奇虎360在2017年底引用的现有开发框架的一部分。当时,有效载荷似乎是推广广告软件的木马。

 前言:

我们最近又有发现了一个试图利用CVE-2018-4878(Flash Player中的漏洞)的偷渡式下载攻击,其序列与我们当前跟踪的任何漏洞利用工具包模式都不匹配。经过调查发现是奇虎360在2017年底引用的现有开发框架的一部分。当时,有效载荷似乎是推广广告软件的木马。

自上次记录以来,虽然分发方法类似,但所使用的漏洞已经发生了变化。我们目前看不到有趣的方面是使用动态加密的打包漏洞,这需要来自后端服务器的密钥来解密和执行它们。

这次提供的有效负载(payload)也不同寻常,因为它不是一个标准的PE文件。相反,它更像是一个多阶段自定义可执行格式,还可以作为下载程序来检索隐藏蜜蜂矿工僵尸网络背后的威胁演员使用的LUA脚本。这可能是第一个用于奴役机器挖掘加密货币的bootkit案例。

广告系列概述

攻击者利用成人网站的恶意广告将其受害者吸引到钓鱼页面。我们认为此广告系列主要针对亚洲国家地区用户的,根据所投放的广告和遥测的数据。声称是在线约会服务的服务器包含着恶意的iframe,其主要负责利用和感染用户。

Traffic play-by-play

IE漏洞利用

除了少数例外,漏洞利用工具包通常会混淆他们的登陆页面和漏洞利用。但是在这里威胁使用加密并要求与后端服务器进行密钥交换以解密和执行漏洞。以往,Angler,Nuclear和Astrum漏洞利用工具包滥用Diffie-Hellman类似的方式密钥交换协议,以防止分析师重放恶意流量。恶意代码的执行从具有嵌入式加密块的网页开始。该块采用Base64编码,然后使用两种算法之一进行加密:RC4或Rabbit。

在解密之后,该块将被执行。您可以在此处找到正在运行的Java Script的解码版本。正如您在脚本中看到的,它会生成随机会话密钥,然后使用攻击者的公共RSA密钥对其进行加密:

加密的密钥被传递到下一个函数并转换为JSON格式,对硬编码的URL执行POST请求:

如果我们查看客户端和服务器之间的流量(客户端发送,我们可以看到加密的“key”和服务器响应“value”):

服务器端

1.使用攻击者的私有RSA密钥,服务器解密传递的会话密钥。

2.使用选择的对称算法(Rabbit或RC4)加密漏洞利用内容。

3.将加密的内容返回给客户端。由于客户端在内存中仍然具有未加密的密钥版本,因此它能够解密并执行漏洞利用。但是,刚捕获流量的研究人员无法检索原始会话密钥,并且无法重现漏洞。值得庆幸的是,在动态分析期间捕获了漏洞。并且我们认为解密的漏洞是CVE-2018-8174,因为测试机器patchedi对CVE-2016-0189的攻击成功了。

Flash漏洞利用

这个较新的Flash漏洞利用程序(CVE-2018-4878)在奇虎360记录的时候并不是漏洞利用工具包的一部分,而且似乎是最近增加其功能的补充。shellcode嵌入在漏洞利用中的是下一阶段的下载程序。成功利用后,它将在以下URL检索其有效负载:

这个扩展名为.wasm的文件,假装成是一个Web Assembler模块。但事实上,它是完全不同的东西,似乎是一个自定义的可执行格式,或一个修改过的无标题PE文件。它从执行期间将需要的DLL的名称开始:

如你所见,它加载了内阁。用于解压缩cabinet文件的.dll模块。在后面的部分中,我们看到了用于通过HTTP协议进行通信的APls和字符串。我们还发现了对“dllhost.exe”和“bin / i386 / core.sdb”的引用。

很容易猜到这个模块将下载并通过dllhost.exe运行。另一个有趣的字符串是Base64编码的内容:

解码后的内容展现了更多的网址:

看看Fiddler捕获的流量,我们发现这模块确实是在查询这些URL:

请求来自dllhost.exe,这意味着上面的可执行文件被注入恶意代码。文件qlfw.wasm与Web Assembly是没有任何共同之处。事实上,它是一个Cabinet文件,包含内部路径下的打包内容:bin / i386 / core.SDB。从内部看,我们发现了相同的自定义可执行格式,从DLL名称开始:

然后,HTTP流量停止。这是此问题的另一个有趣方面,因为威胁参与者可能试图通过假装使用SLTP协议来检索实际有效负载来隐藏流量,这可以在从核心内部的Cabinet文件中提取的字符串core.sdb中看到这一点:

该主机名解析为67198.208 [.] 110:

来自沙盒计算机的加密TCP网络流量显示二进制有效负载的方式检索:

整个开发和有效负载检索过程相当复杂,特别是考虑到此驱逐活动背后的预期目的。受感染的主机被指示开采加密货币:

这个矿工的独特之处在于它是通过使用bootkit来实现持久性,如本文所述。受感染的主机将在每次操作系统引导时更改其主引导记录以启动矿工。

对简单有效负载的复杂攻击

这种攻击在许多层面上都很有趣,因为它在漏洞利用交付部分中使用了不同的技术以及如何打包有效载荷。根据种种遥测,都认为它是集中在少数几个亚洲国家,这在考虑其有效载荷时是有意义的。它还表明威胁行动者并没有完全放弃漏洞利用工具包,尽管在过去几年有明显的下降趋势。

Protection:

Malwarebytes检测到IE和Flash漏洞,导致感染链在早期被停止。

 

本文由曲速未来安全区编译,转载请注明来自区块链安全公司WF曲速未来实验室。本文仅代表作者观点,不代表链得得官方立场。

 

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 曲速未来安全区 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信