一个广告Banner,不需要什么交互就可能让你的PC感染恶意程序,是不是感觉很牛掰?据说就目前为止,已经有上百万PC因为这样的原因被感染。而且很多大型网站似乎都中招了,其中就包括雅虎和MSN,如果你最近看到过下面这样的广告,就真的要小心了!注意,只是看到就要小心。

澳门新葡萄京官网注册 1

Morphisec实验室表示,一名推特ID为“PhysicalDrive0”的安全研究人员在上周二发出警告称,有黑客向香港一家电信公司的网站发起了网络攻击。

像素中的恶意代码

安全公司ESET的恶意软件研究专家在本周二发布了报告,将这个Exploit
Kit称为Stegano。Stegano可以将恶意代码嵌入banner广告的像素中,而这些banner广告通常都在一些广为人知的大型网站上,每日访问量超百万。按照ESET的说法,很多是新闻类媒体网站。

Stegano第一次出现可以追溯到2014年,但是从今年10月初开始演变成了如今这种利用banner广告在各大型网站传播的方式。

Stegano这个名字衍生于Steganography(隐写术)这个词,这门技术其实是通过一些技术手段将信息或内容隐藏在一些数字图像之中,因为肉眼不可见而实现所谓的隐形效果。

其实Stegano是将恶意代码隐藏在透明PNG图像的阿尔法通道(Alpha
Channel)之中,学设计的同学应该知道,图像的Alpha通道可以通过更改每一个像素的透明度值来定义它们的透明程度。而恶意代码的传递竟然是通过Alpha通道的值来传递的,实在是相当高端。接下来,就如大家所知道的那样,有人将这个包装后的恶意广告部署在了一些流量较大的主流网站上。

澳门新葡萄京官网注册 2
   

从左到右依次为初始版本;恶意版本和为了演示效果的恶意版本增强型

“由于这种修改十分细微,被恶意修改过的广告跟初始版本看起来基本没有什么差别。”

能看出来下面这两张图哪张是原图,哪张含恶意代码么~

澳门新葡萄京官网注册 3
   

专家还提到,这些恶意广告会显示名为Browser
Defence或者Broxu的软件宣传内容,隐蔽性极强!最近浏览大型网站,如果你也看到这两个软件的广告了,那就得警惕起来了!

“这些banner广告位于URL为hxxps://browser-defence.com或hxxps://broxu.com的远程域。”

发起了这次攻击的组织叫做AdGholas,他们擅长使用一些有效的技术手段来通过广告传播恶意软件,即大家所知道的恶意广告。他们上次实施攻击就在7月,仅在一天内就利用恶意软件感染了超过一百万PC。

Malwarebytes恶意软件情报分析的负责人Jerome
Segura提到,在短时间内阻止AdGholas的攻击还是可能实现的,但他们很快就可以利用在线广告的其他安全漏洞继续发起攻击。从Segura的观察来看,受灾的网站至少就包括了雅虎和MSN。

“这是我见过手段最先进的恶意广告攻击之一。” Segura说道。

封面

经过Morphisec实验室研究员Michael Gorelik和Assaf
Kachlon的调查确认,事实的确如此。攻击者利用一个已知的Adobe
Flash零日漏洞(CVE-2018-4878)在该公司网站的主页面上添加了一个嵌入式Adobe
Flash文件。

Stegano原理

一旦有用户访问了存在这种恶意广告的网站,这个嵌入在广告中的恶意脚本就可以在不跟用户交互的情况下将用户电脑的信息发送给攻击者的远程服务器。

这个恶意脚本针对的是用IE浏览器的用户,它会先利用IE的CVE-2016-0162漏洞来扫描用户电脑,看看自己是否在沙箱或者某些安全软件的虚拟环境之中。

在验证了用户浏览器之后,恶意脚本会通过TinyURL(短网址)服务将浏览器重定向到一个网址。之后会加载一个Flash文件,这个文件能够根据用户使用的不同Flash
Player版本来利用Flash
Player的不同漏洞(CVE-2015-8651,、CVE-2016-1019、CVE-2016-4117),虽然这几个漏洞现在已经补上了。

澳门新葡萄京官网注册 4
   

“在执行成功之后,Stegano会再次检查自己是否被监控,它的执行Shell代码会收集一些安全产品安装或者执行的数据,这些行为就可以看出Stegano的开发者十分多疑。”ESET的安全专家在blog中提到,“如果攻击者发现检查的结果没什么问题,就会试图再次从这个服务器下载一个加密payload,然后把它伪装成gif图片。”

过程中会下载伪装的的“GIF图片”,再解密其中的payload,然后通过regsvr32.exe或rundll32.exe执行。恶意payloads的类型可能包括后门、间谍软件、银行木马、文件窃取等。

下面这张ESET的图表可能能让你更直观的了解Stegano的攻击过程:

澳门新葡萄京官网注册 5
   

看到腾讯电脑管家在freebuf上发了一篇《NDAY漏洞CVE-2017-11882与0Day漏洞CVE-2018-0802漏洞组合传播远控木马的样本分析》,觉得这个样本很有学习意义。就根据这个样本,梳理了下相关的知识点整理成这个报告。

澳门新葡萄京官网注册 6

2到3秒你就被黑了?

以上所有操作都是自动的,仅发生在2到3秒之间,期间未与用户产生任何交互。

截止目前,Stegano exploit
kit已经被广泛利用,包括著名的Ursnif银行木马和Ramnit恶意软件。

Stegano在2014年使用时,目标是荷兰用户;2015年春天开始针对捷克;到了最近,殃及范围扩大到加拿大、英国、澳大利亚、西班牙和意大利这5个国家。

而且这次攻击中,Stegano每个攻击国家采用特定的exploit包,以达到最大范围的转播。
   

由于AdGholas对攻击目标电脑的安全环境进行多次审查,致使在研究他们攻击方式的时候也遇到了不少麻烦。最后他是用了一台家用电脑并下载了Wireshark,这个不会被监测到的网络抓包工具才让他有幸观察到了一次完整的攻击。

Segura先是在11月27日发现了针对雅虎的攻击,没想到两天后恶意广告又出现了。AdGholas在这次攻击中仅仅是改变了域,连域所在的IP地址都没变。

“如果没看出来的话我们就遇到大麻烦了。”
Segura说道,“这些攻击在没有人意识到的情况下就已经发生了。”

就算通过各种方式扫描恶意广告,但像AdGholas这样的入侵者还是防不胜防。“只要在线广告存在一天,问题同样存在。”Segura说,“当然,也不能够以偏概全,合法的在线广告还是占了大多数的。”

ESET的报告中并没有提到受灾的具体包含哪些大型网站。对普通用户来说,最好的防御办法就是保证你的电脑运行最新版的软件和App,同时使用能监测到这种恶意广告的杀毒软件吧。

分析

  • #### rtf

分析报告中提到该样本为rtf文档类型,在rtf里面嵌入了两个ole对象,而这两个ole对象分别会触发CVE-2017-11882、CVE-2018-0802漏洞。

CVE-2017-11882、CVE-2018-0802都属于栈溢出漏洞,都是对Equation Native
数据结构处理不当导致。【腾讯电脑管家】

此外,rft文档中还嵌入了一个package对象,通过package对象释放setup.zip到临时目录下,只要ole对象中两个漏洞利用只要触发其中一个,shellcode代码就会将setup.zip拷贝到C:Users[username]AppDataRoamingMicrosoftWordSTARTUPz.wll下,只要下次word启动的时候就会自动加载z.wll,从而实现自启动。

当我们拿到样本后,可以通过rtfobj.py获取样本的ole对象情况。如前面所说的rtf样本文档中嵌入了2个ole对象,此外还嵌入了一个package对象。详情如下:

---+----------+-------------------------------+-------------------------------
id |index     |OLE Object                     |OLE Package
---+----------+-------------------------------+-------------------------------
0  |00089BB7h |format_id: 2 (Embedded)        |Filename: ''
   |          |class name: 'Package'          |Source path: ''
   |          |data size: 754732              |Temp path = ''
---+----------+-------------------------------+-------------------------------
1  |001FA4B0h |format_id: 2 (Embedded)        |Not an OLE Package
   |          |class name: 'x00x00x00x00x|
   |          |00x00x00x00x00x00'        |
   |          |data size: 7680                |
---+----------+-------------------------------+-------------------------------
2  |001FF76Dh |format_id: 2 (Embedded)        |Not an OLE Package
   |          |class name: 'x00x00x00x00x|
   |          |00x00x00x00x00x00'        |
   |          |data size: 7680                |
---+----------+-------------------------------+-------------------------------

将这2个ole对象和package对象dump出来,发现package对象是一个PE文件。而我看了下报告中基础知识介绍,对于rtf格式文档,如果用户单击文档内的对象,则WORD进程会将对象提取到用户的临时目录,并使用默认处理程序启动它们。

在文档关闭后,WORD进程会将用户的临时目录中提取的ole对象进行删除。也就是说恶意样本要进行恶意操作的话,需要在文档打开的时间段进行,因为在这时间段内释放出来的文件可以用系统上的其他进程。

关于OLE1 Packager格式,网上也做了总结:

澳门新葡萄京官网注册 7

OLE1 Packager格式

通过{object … {objdata
…}}定位Object部分,其中的objdata部分为编码成16进制的字符串。对于这部分16进制字符数据通过bytearray.fromhex(data)就能将其转换回来,从而进一步观察分析。

澳门新葡萄京官网注册 8

Package结构十六进制视图

从Package结构十六进制视图中的红色框选区域看出对象为嵌入对象,嵌入数据的长度为0x000b8400(小端:高右低左)换算成十进制754688,跟我们dump出来的PE文件的大小754716基本吻合。从结构上没有看到原始路径的信息,但从dump出来的PE中我得知它的编译时间为2017-12-29,并且我们还提取到了PDB路径信息。

澳门新葡萄京官网注册 9

dump Pe 文件信息

另外两个ole对象大小都为8k,其中包含的敏感字符串信息正是前面提及到的setup.zip和z.wll这两个文件。

澳门新葡萄京官网注册 10

字符特征

我们调试word程序发现它在打开样本文档后,会将package对象那个PE写入setup.zip。我在看报告之前还以为word把packgae对象写zip压缩文件中,然后再解压出来拷贝到word启动目录下。结果到这里发现,它是直接把那个PE写成setup.zip。

澳门新葡萄京官网注册 11

向setup.zip写入

接下来就是看漏洞利用的地方,也就是触发漏洞的EQNEDT32.EXE这个程序。我无法得知EQNEDT32.EXE这个程序是什么时候启动起来的,一开始我以为是word创建了它,后来发现没有成功断下来。

只好用附加的方法,而这里附加的方法是通过设置注册表KEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionImage File Execution
OptionsEQNEDT32.EXE将Debugger设置成我们的调试器,当EQNEDT32.exe进程启动的时候我们就能够接管过来。

澳门新葡萄京官网注册 12

Image File Execution Options 项 设置调试

附加EQNEDT32.EXE程序后在关键API下断点,发现它将setup.zip拷贝到word启动目录下并命名为z.wll。

澳门新葡萄京官网注册 13

CopyFile

当word再次启动的时候,它会加载启动目录下的z.wll文件。接着创建”%ALLUSERSPROFILE%NetWork
目录,写入数据到tmp.exe并将其执行。

澳门新葡萄京官网注册 14

image.png

  • #### tmp.exe

主要行为:

  1. 通过获取ComputerName拼接字符串,大概就是Global\Net[ComputerName]_这样。随后,创建互斥体防止程序多次执行。

    澳门新葡萄京官网注册 15

    互斥体创建

  2. 提升进程权限,这也算常见的提权。主要是通过获取了当前进程的id后,利用OpenProcessToken、LookupPrivilegeValueW、AdjustTokenPrivileges完成权限的提升。

![](https://upload-images.jianshu.io/upload_images/8990203-ac5c7268eb4fcaeb.png)

提升权限
  1. 通过创建线程执行接下来的恶意行为,但是线程代码未能够被IDA识别出来。而在程序跑起来后,它通过读取这线程代码进行XOR
    0x6b进行解密。
![](https://upload-images.jianshu.io/upload_images/8990203-8c3636f4364d653c.png)

解密前

澳门新葡萄京官网注册 16

解密后

  1. 检测窗口字符串是否匹配“检测到安全风险”、“Symantec Endpoint
    Protection”、“防火墙问题”、“防火墙警报”等,部分是情况是为了通过匹配窗口字符串成功,通过模拟键盘键值输入来进行对抗安全检测。

比如说当匹配到“检测到安全风险”后,模拟键盘输入顺序为 [TAB] [TAB]
[TAB] [Enter]

澳门新葡萄京官网注册 17

检测到安全风险

而匹配到“防火墙警报”后,模拟键盘输入顺序为[TAB] [UP] [UP] [UP]
[TAB] [TAB] [TAB] [TAB] [ENTER]

澳门新葡萄京官网注册 18

image.png

  1. 在C:Documents and SettingsAll
    UsersNetWork目录下创建servernet.exe
  2. 对路径进行比较,如果是当前运行的程序是servicenet.exe,则拷贝自身到servicenet.exe,通过cmd加载。随后通过批处理文件删除自身。

澳门新葡萄京官网注册 19

批处理文件内容

澳门新葡萄京官网注册 20

cmd加载执行servicenet.exe

  • #### servicenet.exe

主要行为:

  1. 检测servicenet.exe目录是不是为C:Users[username]AppDataRoamingMicrosoftWindowsStart
    MenuProgramsStartup,这个目录是windows下的开机启动目录。

  2. 通过模拟鼠标操作对抗bkav、赛门铁克安全产品,以及通过模拟键盘输入来绕过防火墙检测,而这些操作都是程序通过创建线程来实现。

  3. 在线程中加载执行C:澳门新葡萄京官网注册,Documents and SettingsAll
    UsersNetWork目录下的servernet.exe

澳门新葡萄京官网注册 21

加载执行servernet.exe

  1. 通过cmd命令关闭PcaSvc服务

"sc stop PcaSvc"    程序兼容性助手(PCA)提供支持
"sc config PcaSvc start= disabled"
  1. 判断系统是否为64位,根据系统版本位数拷贝数据大小也不一样,32位0x1E00u、64位0xFA00u。

  2. 检测程序是否存在于“「开始」菜单程序启动”、“AppDataRoamingMicrosoftWindowsStart
    MenuProgramsStartup”下。

  3. 遍历进程列表,检测杀软。检测列表如下:

    • avp.exe
    • QQPCTray.exe
    • TMBMSRV.exe
    • ptSessionAgent.exe
    • ccSvcHst.exe
    • AvastSvc.exe
    • egui.exe
    • ekrn.exe
    • Avira.ServiceHost.exe
    • avguard.exe
    • avgnt.exe
    • 360sd.exe、360tray.exe、360rps.exe
    • NS.exe
    • kxetray.exe
    • KSafeTray.exe
  4. 联网通信

    • 83.166.242.122:443
    • 109.237.110.10:81
  5. 根据检测不同的进程执行的对抗行为也不一样。

    • 如果检测到进程中存在avp.exe、QQPCTray.exe,就会将servernet.exe拷贝到启动目录下。
    • 如果检测到进程中存在TMBMSRV.exe、ptSessionAgent.exe、ccSvcHst.exe、360sd.exe、360tray.exe、360rps.exe等其中一款产品,且根据对应的系统版本的情况释放文件的同时再去执行不同的行为。
  • #### servernet.exe

澳门新葡萄京官网注册 22

执行servicenet.exe

  • #### Srvlic.dll / msTracer.dll

这两个文件的MD5是一样的,只是情况不同所以命名不一样。它们的主要功能也是为了加载执行执行servicenet.exe

澳门新葡萄京官网注册 23

执行servicenet.exe

  • #### MemRunExe

绕过系统的UAC账户控制

(腾讯分析报告有说,我:emmmmm 哈哈哈哈 我懒)

  • #### HookMessageBox.dll

MessageBoxA、MessageBoxW函数hook成空函数,这样做估计是为了反正一些敏感弹窗出现,暴露木马迹象被电脑使用的人察觉。

澳门新葡萄京官网注册 24

hook MessageBox

  • #### SandboxieBITS.exe sbiedll.dll

这两个文件使用的套路算是目前远控木马中比较主流的白加黑。SandboxieBITS.exe是一个白文件,但是它并没有对需要加载sbiedll.dll进行校验,导致被恶意利用。

澳门新葡萄京官网注册 25

SandboxieBITS 签名信息

通过PE工具就可以看到SandboxieBITS.exe导入表中存在sbiedll.dll。

澳门新葡萄京官网注册 26

导入表

在sbiedll.dll的SbieDll_Hook里我们可以看到它的主要行为有:

  1. 提升进程权限
  2. 加密字符串,通过 XOR 0x5u
    可以解密出字符串;然后会检测系统进程列表中是否存在360tray.exe、360sd.exe。
解密前 解密后
635qwd|+`}` 360tray.exe
635va+`}` 360sd.exe
360rps.exe 635wuv+`}`

第三个解密的字符串是反的,导致后门检测进程的时候检测的字符串是635wuv+`}`。

澳门新葡萄京官网注册 27

image.png

  1. 创建计划任务,在系统启动的时候加载执行servernet.exe,计划任务名称为task1。

澳门新葡萄京官网注册 28

创建计划任务

澳门新葡萄京官网注册 29

计划任务窗口

  1. 加载HookMessageBox.dll,将MessageBoxA、MessageBoxW函数hook成空函数。

澳门新葡萄京官网注册 30

加载 HookMessageBox.dl

分析到这里我们得知,牧马人试图通过各种方式将servicenet.exe执行起来。而这个木马的功能模块和普通的木马基本相似,主要有文件操作、注册表操作、木马端更新卸载、提取、清除日志、管道等功能。

根据相关信息显示,CVE-2018-4878漏洞最早是由韩国计算机应急响应小组(KR-CERT)发现的,而KR-CERT表示,来自朝鲜的黑客组织已经成功将这个漏洞运用到了实际攻击活动中。

有关Stegano的技术分析

如前文所述,Stegona实际上2014年就已经出现了,不过当前的版本经过了极大加强。据ESET所说,和Stegona比起来,其他一些比较有名的Exploit
Kits,比如说Angler和Neutrino实在是小巫见大巫了。

在绝大部分感染场景中,存在问题的广告都会展示一个名叫Browser
Defence的产品,最近还有在展示Broxu软件的。以下的分析仅针对Browser
Defence。

恶意广告本身位于browser-defence.com这个域名下,URI构造类似于下面这样(注意还是用的https):

hxxps://browser-defence.com/ads/s/index.html?w=160&h=600

这里的index.html会加载countly.min.js,为脚本提供提供初始参数。这里的countly可不是随便从GitHub复制一段代码,其中的代码进行了大量混淆和自定义修改。这些代码主要负责的是初始环境检查。随后初始环境信息会发回服务器(当成1×1
gif文件的XOR加密过的参数发回),形如下面这样:

systemLocale^screenResolution^GMT offset^Date^userAgent^pixelRatio

据研究人员Segura所说,恶意程序收集的信息还比较多样,包括计算机的时区、某些显卡驱动是否安装,还有设备的性能参数。反复确认被攻击对象之后,后面的步骤才会执行,所以安全人员都认为Exploit
Kit作者有强迫症。

随后脚本就会请求广告Banner了。根据前面初始环境检查结果,返回恶意广告,或者也可能是不存在恶意的广告。

脚本接下来就会加载Banner,然后读取RGBA结构(有兴趣的可以去了解RGBA
color
space色彩空间,即红绿蓝三个通道+Alpha通道)。如果说加载的是恶意banner,就会从图片的Alpha通道中解码一部分JS。

至于具体怎么解码Alpha通道中的代码,这里面具体是有一套算法的,是不是感觉很有意思?详情参见ESET的原文。

澳门新葡萄京官网注册 3
   

某些像素的Alpha通道包含了一些值,所以我们从图片中看起来,图片会呈现出一些噪点,主要就是因为这些存在恶意的值。现在知道上面这两张图的差别了吗?实际上,这也的确很难检测到。

在成功解码之后,JS代码还会跟图片最后编码的哈希值来校验其完整性,最终再执行。这些代码才正式对计算机环境和浏览器本身进行检查,利用的是IE漏洞CVE-2016-0162。检查的主要是抓包、沙盒还有虚拟化软件是否存在,当然还有环境中是否存在安全软件;主要会检查下面这些东东是否存在:

  • C:WindowsSystem32driversvmci.sys
  • C:Program FilesVMwareVMware Toolsvmtoolsd.exe
  • C:Program Files (x86)VMwareVMware Toolsvmtoolsd.exe
  • C:WindowsSystem32driversvboxdrv.sys
  • C:WindowsSystem32vboxservice.exe
  • C:Program FilesOracleVirtualBox Guest AdditionsVBoxTray.exe
  • C:Program Files (x86)OracleVirtualBox Guest
    AdditionsVBoxTray.exe
  • C:WindowsSystem32driversprl_fs.sys
  • C:Program FilesParallelsParallels Toolsprl_cc.exe
  • C:Program Files (x86)ParallelsParallels Toolsprl_cc.exe
  • C:WindowsSystem32VMUSrvc.exe
  • C:WindowsSystem32VMSrvc.exe
  • C:Program FilesFiddlerFiddler.exe
  • C:Program Files (x86)FiddlerFiddler.exe
  • C:Program FilesFiddler2Fiddler.exe
  • C:Program Files (x86)Fiddler2Fiddler.exe
  • C:Program FilesFiddler4Fiddler.exe
  • C:Program Files (x86)Fiddler4Fiddler.exe
  • C:Program FilesFiddlerCoreAPIFiddlerCore.dll
  • C:Program Files (x86)FiddlerCoreAPIFiddlerCore.dll
  • C:Program FilesCharlesCharles.exe
  • C:Program Files (x86)CharlesCharles.exe
  • C:Program FilesWiresharkwireshark.exe
  • C:Program Files (x86)Wiresharkwireshark.exe
  • C:Program FilesSandboxieSbieDll.dll
  • C:Program Files (x86)SandboxieSbieDll.dll

检查下来,如果一切顺利就会建立仅1个像素的iframe,设定window.name属性,通过HTTPS重定向至TinyURL。然后TinyURL再通过HTTP重定向至漏洞利用landing页面。

最后

这个样本确实很有意思,分析下来能够了解到很多攻击者的攻击思路。

譬如:

  • 像类似的doc样本,如果攻击目标比较明确的情况下,攻击前可能会为“水坑攻击”做些准备。
  • 利用CVE-2017-11882、CVE-2018-0802漏洞,双漏洞“补位进攻”。
  • “草丛三兄弟”潜伏加载,很多木马为了常驻目标设备,都想尽办法驻留。该样本也试图通过白加黑、windows启动目录、dll加载这些方式,试图潜伏在设备机器里。
  • 对抗法师的“沉默”,HookMessageBox沉默了一些本该让木马暴露的弹窗。

参考链接

APT恶意软件分析系列之从WORD中提取EXE的分析技术
https://www.secpulse.com/archives/3792.html
剖析RTF文件中的Anti-Analysis技术
http://www.freebuf.com/articles/terminal/102018.html
NDAY漏洞CVE-2017-11882与0Day漏洞CVE-2018-0802漏洞组合传播远控木马分析
http://www.freebuf.com/vuls/160252.html
OLE工具套件分析OFFICE宏恶意样本
https://www.cnblogs.com/KevinGeorge/p/7868881.html
CVE-2015-1641浅析-word类型混淆漏洞
http://blog.csdn.net/qq_32400847/article/details/75196251

Adobe随即在一周之内对这个漏洞完成了修复,并在其发布的公告中表示漏洞会影响到Flash
Player 28.0.0.137以及之前的所有版本。

漏洞利用阶段

在成功重定向之后,landing页面会检查浏览器userAgent(IE),加载一个Flash文件,然后通过一个加密的JSON文件来设定FlashVars参数。在此,landing页面是作为中间人的角色存在的,提供基本的加密解密功能。

FLash文件内实际上还嵌入了另一个Flash文件(和Neutrino类似),根据Flash版本采用3种不同的exploits。

第二阶段,Flash文件会对FlashVars解密。其中包含了一个JSON文件(URI)、针对ExternalInterface的JS函数名、回调函数名和部分其他数据:

{“a”:”/e.gif?ts=1743526585&r=10&data=”,”b”:”dUt”,”c”:”hML”,”d”:true,”x”:”/x.gif?ts=1743526585&r=70&data=”}

接下来,就会通过ExtelnalInterface.call()来调用一个JS,检查Flash版本,然后通过landing页面发往服务器。这个过程是通过针对GIF文件请求的加密URI参数完成的。加密算法比较简单,用到了广告中的window.name。

澳门新葡萄京官网注册 32
   

而服务器给出的响应就是个GIF图片,这个图片前面的部分字节会被丢弃,针对剩下的部分进行解密,然后回传给Flash。

澳门新葡萄京官网注册 33
   

实际上这里的响应就是个JSON,其中包含了利用三个漏洞(CVE-2015-8651、CVE-2016-1019或者是CVE-2016-4117)的指示字符,还有相应exploit的密码,以及为下一阶段payload做准备的shell
code URI。

Morphisec指出,针对香港电信公司网站网络攻击可以说是一起典型的水坑攻击(Watering
Hole
Attack)事件。这是一种常用的黑客攻击方式之一,攻击者首先会分析攻击目标通常会访问哪些网站,然后入侵这些网站并部署恶意软件。在攻击目标访问这些网站时,会被重定向到恶意网址或触发恶意软件执行,导致攻击目标所属网络系统中的其他成员同样会遭到恶意软件的感染。

Shell代码

利用阶段的最后,shell代码解密,下载加密后的payload——整个过程还是伪装成GIF图片。在这个阶段,还是会再度执行一次检查,看看自己有没有被察觉。

澳门新葡萄京官网注册 34
   

针对文件名包含下面这些字符的软件,它会格外在意。一旦发现有什么可疑的,就不会再下载payload:

  • vmtoolsd.exe
  • VBoxService.exe
  • prl_tools_service.exe
  • VBoxHook.dll
  • SBIEDLL.DLL
  • fiddler.exe
  • charles.exe
  • wireshark.exe
  • proxifier.exe
  • procexp.exe
  • ollydbg.exe

  • windbg.exe

  • eset*, kasper*, avast*, alwil*, panda*, nano a*, bitdef*,
    bullgu*, arcabi*, f-secu*, g data*, escan*, trustp*, avg*,
    sophos*, trend m*, mcafee*, lavaso*, immune*, clamav*,
    emsiso*, superanti*, avira*, vba32*, sunbel*, gfi so*,
    vipre*, microsoft sec*, microsoft ant*, norman*, ikarus*,
    fortin*, filsec*, k7 com*, ahnlab*, malwareby*, comodo*,
    symant*, norton*, agnitu*, drweb*, 360*, quick h

Morphise进一步强调说,水坑攻击从本质上讲具备高度针对性,并且具备高度的隐匿性。在这起攻击活动中,攻击者没有生产任何文件,也没有在本地硬盘上留下的任何痕迹。另外,攻击者还在没有过滤端口(443端口)上使用了自定义协议与命令和控制(C&C)服务器进行通信。这一切都表明,事件背后的攻击者应该是一个拥有先进技术的黑客组织。

Payload部分

接收到Payload之后,也就是上面说的GIF图片!GIF图片的前42个字节会被丢弃,对剩下的进行解密,通过下面的某一种方式将其保存到文件中:

  1. 1.CreateFile, WriteFile

  2. 2.CreateUrlCacheEntryA(*” ,,,,), CreateFileA,
    CreateFileMappingA, MapViewOfFile, {loop of moving bytes},
    FlushViewOfFile, UnmapViewOfFile

随后再通过regsvr32.exe或者rundll32.exe来执行payload。ESET的分析发现了下面这些payload会被下载,应该还有其他的payload。

  • Win32/TrojanDownloader.Agent.CFH

  • Win32/TrojanDownloader.Dagozill.B

  • Win32/GenKryptik.KUM

  • Win32/Kryptik.DLIF

从整个过程来看,这个恶意广告的作者还是花了相当多的心思来确保隐蔽性。不过鉴于利用的漏洞都已经被修复,所以将软件升级到最新版,这个看起来非常有趣和恐怖的攻击过程就无法得逞了。

另外,广告网络虽然一直都越来越注重扫描广告中的恶意代码,不过对于AdGholas这种具有隐蔽性的技术仍旧束手无策。技术分析中就已经提到,这个黑客团队会推两个不同版本的广告,其中一版是普通版,就是为了给广告网络扫描之用的。但在“精心挑选”被攻击对象之后,才推恶意广告。

这样一来,恶意广告就逃脱了广告网络的扫描,恶意广告也就出现在了大型网站上,导致大量设备被攻击。如Segura所说,互联网广告行业现如今注重的主要是速度,而非安全性,威胁的出现是值得那些广告网络注意的。

稿源:FreeBuf.COM
   

参考来源:ESET,inforisktoday

编译:孙毛毛&欧阳洋葱

澳门新葡萄京官网注册 35

研究人员解释说,攻击者在这起攻击事件中利用的Flash漏洞与先前发布的CVE-2018-4878分析报告中的描述具有高度相似性,主要区别在于之后执行的shellcode。

澳门新葡萄京官网注册 36

shellcode执行一个合法的Windows进程“rundll32.exe”,并用一段恶意代码覆盖其内存,而恶意代码的目的将其他代码直接下载到同一个rundll32进程的内存中。

澳门新葡萄京官网注册 37

下载到rundll32内存的附加代码包括Metasploit
Meterpreter和Mimikatz模块,而大多数模块是在2月15日编译的,也就是说攻击者从开始准备到发起攻击只用了很短的时间。

澳门新葡萄京官网注册 38

攻击者使用的模块基于Github提供的最基本的Metasploit框架组件,并没有被添加任何复杂性、混淆或逃避检测机制,这会给研究人员对攻击者来源的追查造成很大的困扰。