美妇av,日韩视频第一页,欧美成人a

WF曲速未來披露：看如何通過‘隱藏的蜜蜂’進行新型漏洞的傳播區塊鏈

曲速未來安全區 2018-08-09 00:35

分享到：

導讀

區塊鏈安全社區WF曲速區表示最近又有發現了一個試圖利用CVE-2018-4878（FlashPlayer中的漏洞）的偷渡式下載攻擊，其序列與我們當前跟蹤的任何漏洞利用工具包模式都不匹配。經過調查發現是奇虎360在2017年底引用的現有開發框架的一部分。當時，有效載荷似乎是推廣廣告軟件的木馬。

前言：

區塊鏈安全社區WF曲速區表示最近又有發現了一個試圖利用CVE-2018-4878（Flash Player中的漏洞）的偷渡式下載攻擊，其序列與我們當前跟蹤的任何漏洞利用工具包模式都不匹配。經過調查發現是奇虎360在2017年底引用的現有開發框架的一部分。當時，有效載荷似乎是推廣廣告軟件的木馬。

自上次記錄以來，雖然分發方法類似，但所使用的漏洞已經發生了變化。我們目前看不到有趣的方面是使用動態加密的打包漏洞，這需要來自后端服務器的密鑰來解密和執行它們。

這次提供的有效負載（payload）也不同尋常，因為它不是一個標準的PE文件。相反，它更像是一個多階段自定義可執行格式，還可以作為下載程序來檢索隱藏蜜蜂礦工僵尸網絡背后的威脅演員使用的LUA腳本。這可能是第一個用于奴役機器挖掘加密貨幣的bootkit案例。

廣告系列概述

攻擊者利用成人網站的惡意廣告將其受害者吸引到釣魚頁面。我們認為此廣告系列主要針對亞洲國家地區用戶的，根據所投放的廣告和遙測的數據。聲稱是在線約會服務的服務器包含著惡意的iframe，其主要負責利用和感染用戶。

Traffic play-by-play

IE漏洞利用

除了少數例外，漏洞利用工具包通常會混淆他們的登陸頁面和漏洞利用。但是在這里威脅使用加密并要求與后端服務器進行密鑰交換以解密和執行漏洞。以往，Angler，Nuclear和Astrum漏洞利用工具包濫用Diffie-Hellman類似的方式密鑰交換協議，以防止分析師重放惡意流量。惡意代碼的執行從具有嵌入式加密塊的網頁開始。該塊采用Base64編碼，然后使用兩種算法之一進行加密：RC4或Rabbit。

在解密之后，該塊將被執行。您可以在此處找到正在運行的Java Script的解碼版本。正如您在腳本中看到的，它會生成隨機會話密鑰，然后使用攻擊者的公共RSA密鑰對其進行加密：

加密的密鑰被傳遞到下一個函數并轉換為JSON格式，對硬編碼的URL執行POST請求：

如果我們查看客戶端和服務器之間的流量（客戶端發送，我們可以看到加密的“key”和服務器響應“value”）：

服務器端

1.使用攻擊者的私有RSA密鑰，服務器解密傳遞的會話密鑰。

2.使用選擇的對稱算法（Rabbit或RC4）加密漏洞利用內容。

3.將加密的內容返回給客戶端。由于客戶端在內存中仍然具有未加密的密鑰版本，因此它能夠解密并執行漏洞利用。但是，剛捕獲流量的研究人員無法檢索原始會話密鑰，并且無法重現漏洞。值得慶幸的是，在動態分析期間捕獲了漏洞。并且我們認為解密的漏洞是CVE-2018-8174，因為測試機器patchedi對CVE-2016-0189的攻擊成功了。

Flash漏洞利用

這個較新的Flash漏洞利用程序（CVE-2018-4878）在奇虎360記錄的時候并不是漏洞利用工具包的一部分，而且似乎是最近增加其功能的補充。shellcode嵌入在漏洞利用中的是下一階段的下載程序。成功利用后，它將在以下URL檢索其有效負載：

這個擴展名為.wasm的文件，假裝成是一個Web Assembler模塊。但事實上，它是完全不同的東西，似乎是一個自定義的可執行格式，或一個修改過的無標題PE文件。它從執行期間將需要的DLL的名稱開始：

如你所見，它加載了內閣。用于解壓縮cabinet文件的.dll模塊。在后面的部分中，我們看到了用于通過HTTP協議進行通信的APls和字符串。我們還發現了對“dllhost.exe”和“bin / i386 / core.sdb”的引用。

很容易猜到這個模塊將下載并通過dllhost.exe運行。另一個有趣的字符串是Base64編碼的內容：

解碼后的內容展現了更多的網址：

看看Fiddler捕獲的流量，我們發現這模塊確實是在查詢這些URL：

請求來自dllhost.exe，這意味著上面的可執行文件被注入惡意代碼。文件qlfw.wasm與Web Assembly是沒有任何共同之處。事實上，它是一個Cabinet文件，包含內部路徑下的打包內容：bin / i386 / core.SDB。從內部看，我們發現了相同的自定義可執行格式，從DLL名稱開始：