欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

NeutrinoEK来袭:爱拍网遭敲诈者病毒挂马

来源:本站整理 作者:360安全卫士 时间:2016-07-15 TAG: 我要投稿

pic12

图12 Flash释放出的js文件

这个js文件是加密混淆过的一段很短小的代码,脚本运行时的参数功能分别是payload的下载网址,解密密钥,下载使用的UserAgent。而下载的程序则要进行解密,才得到最终被执行的PE程序。最终js脚本会调用regsvr32去注册被解密的PE程序,通过这种方法最终使PE程序执行起来,这个PE文件不出意外的是一个敲诈者病毒。

pic13

图13 js脚本三个启动参数的使用场景

pic14

图14 js脚本下载回来的待解密数据

pic15

图15 解密后的完整PE文件

pic16

图16 js脚本调用regsvr32通过注册控件的方式运行解密后的PE程序

PE虽然被解密出来,但文件中依然含有大量的垃圾指令来干扰分析。该程序首先会通过发起网络请求来获取敲诈信息和加密密钥PAB.KEY。

pic17

图17 根据包的第一字节返回数据

pic18

图18 写入下载回来的敲诈信息和加密密钥

然后进行加密操作,这个敲诈者程序很聪明的回避了比较敏感的系统盘符,而只加密其他盘符下的文件,用以避开安全软件的监控。而加密的扩展名也是从一长串可选的扩展名中选取的。

pic19

图19 跳过C盘而只对其他盘文件进行加密

pic20

图20 木马程序识别的待加密文件扩展名

被加密后的文件分为两部分,第一部分是PAB.KEY中的内容,第二部分是文件被加密后的内容。

pic21

图21 被加密文件格式

最终,用户被敲诈2.4 BTC,现在比特币价格波动较大,仅参考写本文时的价格来看,2.4 BTC约合人民币10000元左右,也算是价格不菲了。

pic22

图22 加密完成后桌面背景被篡改

pic23

图23 根据提示找到付费页面

0x04 总结


整个过程分析下来,不难发现NeutrinoEK是目前流行的水平较高的攻击包,所有数据都经过加密,一层套一层,js代码都经过了一定的混淆,释放的敲诈者也采用了多种诡计躲避分析,处处透露着与杀软和分析人员的对抗,具备较高的分析难度;同时采用多个漏洞攻击,代码技术水平高,挂马成功率高,危害大。

爱拍网具有较大的访问量,但是所幸用户触发挂马的概率比较低,未能造成大范围的感染。鉴于敲诈者病毒加密后的文件几乎不可恢复,给受害者造成的损失巨大,希望相关网站能够严格审核广告,避免对网站用户造成危害。

pic24

图24 360拦截Flash漏洞利用攻击(基于Fiddler数据重放)

目前针对Flash的漏洞利用层出不穷,各个EK工具包也采用了多种加密混淆手段躲避杀毒软件的静态扫描,因此较难防御,对此360安全卫士及浏览器使用QEX引擎静态扫描功能,并结合动态拦截技术阻止各种Flash漏洞攻击,更加有效的保卫用户电脑。同时也建议用户及时升级Adobe Flash Player的版本,加强系统对已知漏洞的免疫力。

0x05 附录


  • 相关文件Hash
    • 853f760678f901a0ff46777c6a68949b
    • 3e7f75ff27e3e5721a90ac9ed32bed73
    • dcb84dfdc17743b63943b62e03c0c134
  • Dump出来的文件
    • 4bff486e3d7a98e710e82ae6c486b0cc
    • 0aa6502074b83a466262f3f85c929cb7
    • fe8332e7fbfc17a8fa1848a82b9dde21
    • c236d3ec78fef67f07eb99ed50fbd58e
    • e5f4a8c574a2147017f193f085304ed7
    • f0149617e43f1d24cc9150e6c204206d
  • 相关域名网址:
    • http://pompeijverblik.paydayloan.uk.com
    • 91.220.131.147

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载