快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

新Underminer EK使用加密TCP地道交付Bootkit以及挖矿软件

趋向科技在本周发表的一篇博文中指出,其研究人员已经发现了一个新的漏洞行使工具包(Exploit Kit),并将其命名为Underminer。Underminer EK使用了其他漏洞行使工具包所具备的功能,以阻碍安全研究人员追踪其活动或对其有用载荷进行逆向工程。

Underminer EK交付了一个会感染体系的引导扇区的bootkit程序,和一个名为Hidden Mellifera的加密货币挖掘恶意软件。值得注意的是,Underminer EK通过加密传输控制协定(TCP)地道来传递恶意软件,并使用类似于ROM文件体系格式(romfs)的自定义格式打包恶意文件。这些技巧的应用使得对漏洞行使工具包及其有用载荷的阐发变得极为难题。

基于Underminer EK的活动最先于7月17日,其有用载荷首要被分发给了亚洲国家。加密货币挖掘恶意软件Hidden Mellifera于5月份出现,据报导影响了多达50万台设备。另外,Hidden Mellifera的开发者也被证明与2017年8月被报导的挟制阅读器的木马Hidden Soul存在关联。这类关联性表明,Underminer EK也是由同一伙收集犯法分子开发的,因为Underminer EK也推送了Hidden Mellifera。据称,Underminer EK是通过一个广告服务器分发的,而该服务器的域名则使用Hidden Mellifera开发者所持有的电子邮件地址注册。

UnderminerEK活动的地理地位分布

图1. UnderminerEK活动的地理地位分布,从7月17日到7月23日

Underminer EK的功能

Underminer EK配备了其他漏洞行使工具包所具备功能:阅读器阐发以及筛选、防止客户端重访、URL随机化以及有用载荷的非对称加密。Underminer EK的登录页面可以通过用户代办署理对用户的Adobe Flash Player版本以及阅读器类型进行阐发以及检测。要是客户端的设置文件与其感兴致的目标不匹配,则不会交付恶意内容,并将受害者重定向到一个常规网站。Underminer EK还为阅读器cookie配置一个令牌,要是受害者已经走访了漏洞行使工具包的登录页面,则不会推送有用载荷,而是会传递HTTP 404错误新闻。这可以防止Underminer EK重复攻击同一个受害者,也能够阻碍研究人员通过重新走访他们的恶意链接来重现攻击。不仅云云,Underminer EK还可以随机化在攻击中使用的每一个URL中的路径,以规避传统防病毒(AV)解决方案的检测。

UnderminerEK行使CVE-2016-0189 的流量模式UnderminerEK行使CVE-2015-5119以及CVE-2018-4878的流量模式

图2. UnderminerEK行使CVE-2016-0189(上)、CVE-2015-5119以及CVE-2018-4878(下)的流量模式

Underminer EK怎么样隐躲其漏洞行使

Underminer EK使用RSA加密来维护其漏洞行使代码,黑客网,并防止其流量被重放。在行使漏洞之前,Underminer EK会先生成一个随秘要钥,并将其发送到其命令以及控制(C&C)服务器。然后,这个密钥用于加密其JavaScript代码以及漏洞行使代码,在HTTP响应标头“X-Algorithm”中指定对称加密算法,并将其发送归受害者。在我们的测试中,其使用的对称算法是RC4或Rabbit。

在收到响应后,Underminer EK将使用生成的密钥解密代码并执行它。Underminer EK还在密钥传输过程中使用了RSA加密来进一步维护它(随秘要钥是使用嵌入在其代码中的公钥加密的)。它只能通过一个私钥解密,这个私钥只有Underminer EK的运营商才知道。即使可以看到漏洞行使工具包的收集流量,或者手边有文件样本,也没法对漏洞行使有用载荷进行解密。这类手艺类似于其他漏洞行使工具包所使用的手艺,特别是Angler、 Nuclear以及Astrum,但它们使用的是Diffie-Hellman算法。

使用RSA公钥加密随秘要钥的JavaScript代码片段

图3. 使用RSA公钥加密随秘要钥的JavaScript代码片段

Underminer EK的漏洞行使

Underminer EK使用了几个也被其他漏洞行使工具包以及威胁参与者所使用的安全漏洞:

CVE-2015-5119,一个存在于 AdobeFlash Player中的开释后重用(use-after-free)漏洞,于2015年7月被修补。

CVE-2016-0189,一个InternetExplorer(IE)内存破损漏洞,于2016年5月被修补。

CVE-2018-4878,存在于AdobeFlash Player中的一个开释后重用(use-after-free)漏洞,于2018年2月被修补。

在使用这些漏洞时,会执行一个恶意软件加载程序。每个都有类似的感染链,但在执行上有所不同。在使用CVE-2016-0189时,将通过regsvr32.exe执行一个包含JScript代码的scriptlet(.sct文件)。JScript代码将开释一个将要使用rundll32.exe执行的动态链接库(DLL),该库将从漏洞行使工具包加载并执行第二阶段的downloader。

当使用Flash漏洞时,Underminer将直接执行shellcode下列载一个没有MZ标头的可执行文件。这种似于从scriptlet中开释的第一个loader或DLL。loader将检索相同的第二阶段的downloader,然后将其注入新关上的rundll32.exe进程。在恶意软件被装置到体系中之前,Flash漏洞的感染链实际上以无文件情势进行的。在趋向科技发布的手艺摘要中,他们进一步诠释了第二阶段downloader怎么样通过一个加密的TCP地道交付bookit以及加密货币挖掘恶意软件。

UnderminerEK的漏洞行使的感染流程

图4. UnderminerEK的漏洞行使的感染流程

在这份手艺摘要中,你可以找到趋向科技对Underminer EK感染链的具体阐发和IoCs。

*参考来源:趋向科技,Hydralab 编译收拾整理,

您可能还会对下面的文章感兴趣: