欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

FALLOUT工具包再现江湖,让你浏览网站时不知不觉中招

来源:本站整理 作者:佚名 时间:2019-07-09 TAG: 我要投稿

近年来,网络攻击越来越无孔不入,看似平常的活动在攻击者眼中也成为了潜在的攻击机会,作为这一趋势的最新案例,本文将展示攻击者是如何通过人们日常的浏览行为来安装AZORult的。AZORult是一类间谍软件,能从受害者计算机中窃取大量有价值的数据。
此次行动,攻击者结合了几种技术来访问用户机器:
· 使用PowerShell而不是Internet Explorer来执行最终payload,并绕过了Windows中的AMSI保护机制。
· 通过恶意重定向来识别目标计算机中的漏洞,然后动态选择相关技术来获取访问权限。
· 植入AZORult来收集受害者数据。
介绍
你所认为的“安全”浏览却可能会在不知情的情况下暴露你的个人数据。去年,nao sec团队首次发现了Fallout漏洞利用工具包,该工具包通过在GitHub上的各种漏洞利用工具来武装自己,感染用户。而最近它们把目光转移到了一个新的Flash播放器漏洞——CVE-2018-15982上。
漏洞利用工具包(EK)是嵌入恶意或受损网页的组件,利用易受攻击的客户端应用程序在访问者主机上安装恶意软件。在日本,由于过时的、未打补丁的操作系统和第三方软件的数量相对较多,因此开发工具包通常非常活跃。
自2019年初以来,Fallout漏洞利用工具包一直用于传播GandCrab勒索软件。而最近,它被发现植入了其他类型的勒索软件和如AZORult之类的间谍软件。与其它漏洞攻击工具包使用的传统技术相比,Fallout的感染机制相当不同——传统技术通常保留在浏览器的上下文中,而Fallout则使用PowerShell来运行payload。自今年年初以来,Cybereason团队遭遇了许多与Fallout有关的感染,我们将在下文讲述其中一个案例。

Fallout的感染流程
感染过程分析
上述感染流程称为偷渡式下载(drive-by download)。用户浏览恶意或受感染的网页时,恶意代码通过漏洞利用将恶意软件下载到受害者机器上。这种做法相对简单,用户只需浏览网页就能开启感染过程,既不需要做任何额外的操作,也不需要经过用户的同意。
为了达到这一目的,漏洞利用工具包常常会破坏合法的网站,并通过利用各种web漏洞(有时使用XSS)将其感染,再经过一系列网页重定向后将用户导到工具包的登录页面。登陆页面是最后一个恶意页面,它会触发某个漏洞的利用代码。大多数此类网站都是制作成人内容的网站,因为这些网站很热门,能为攻击者带来最大化感染。
通过检查PowerShell的父进程iexplore.exe,我们可以看到受害者在浏览网页时使用的是Internet Explorer。

识别用户访问的链接
下图演示了前面提到的重定向过程。

在显示EK登陆页面之前进行的一系列重定向
通过使用WHOIS来检查域名的创建日期记录,我们可以看到该域名是最近注册的,这点是可疑的。以托管在荷兰的“tracpadsforgame [.] info”的WHOIS记录(从DomainTools中获取)为例:
域名:TRACPADSFORGAME [.] INFO
注册表域ID:D503300000129283219-LRMS
注册商WHOIS服务器:whois.namecheap.com
注册商网址:www.namecheap.com
更新日期:2019-02-04
创建日期:2018-08-08
注册日期到期日:2019-08-08
而在以前的攻击行动中,已有研究人员注意到过上述域名。在2月下旬,该域出现在了RIG EK和AZORult的配对组合中。
下面是托管在“tracpadsforgame [.] info”上的恶意重定向的代码片段。此链接在感染时使用,攻击者经常轮换链接。此代码段在一系列重定向中的其中一个页面上。
(function(h,o,t,j,a,r){
h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)};
h._hjSettings={hjid:623500,hjsv:5};
a=o.getElementsByTagName('head')[0];
r=o.createElement('script');r.async=1;
r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv;
a.appendChild(r);
})(window,document,'//static.hotjar.com/c/hotjar-','.js?sv=');

Check profit calculator »
support »
代码的噪声中隐藏了一个恶意iframe标记。iframe会加载恶意域cantouchthis[.]xyz。
加载的cantouchthis[.]xyz页面包含了更多混淆的JavaScript代码。通过清理代码并提取相关的部分,得到如下片段。

JavaScript代码,浏览器指纹识别
在代码的末尾,使用了eval函数。

JavaScript代码中的eval函数
eval函数编译并执行JavaScript代码。从历史上看,它既是JavaScript中最强大的函数,也是被滥用最多的函数。

传递给eval函数的去混淆代码
上面的输出是另一组稍微混淆过的代码,这段代码用于执行一系列浏览器检查,以确定受害者是否在使用某些特定的浏览器,如果不是就略过,如果检查通过,代码将动态生成一个额外的恶意iframe,以便在visits()中进一步重定向用户。下一个Base64字符串解码为hxxp://ad3[.]dogfunnyvideos[.]]xyz/mydoggystylewithyourkitty,这是用户被重定向到的地方。类似的过程可能重复发生,直到到达最终的恶意页面。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载