欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

暗号“戒烟”:Terror EK集合八枚漏洞发起挖矿机挂马攻击

来源:本站整理 作者:佚名 时间:2017-09-12 TAG: 我要投稿

一、概述
近期,360网络安全团队监测到一个应用漏洞破绽攻击包Terror Exploit Kit(简称TerrorEK)散布门罗币挖矿软件的挂马行为,经由过程内嵌作者的门罗币地点,将用户的机械侵占为本身挖矿赢利的对象。
这是咱们近期在海内发明TerrorEK的流传记载,360第一光阴发明并停止阐发,该TerrorEK除集成为了多个罕见的IE和Flash破绽之外,还参加了最新的IE破绽组合CVE-2017-0037和CVE-2017-0059,有着更高的进击胜利率。颠末咱们的测试,现有的360平安卫士进攻系统早已能够或许给用户供给多条理掩护,抵抗此类挂马进击。
TerrorEK于2016岁尾呈现,作者有时候也会应用Blaze、Neptune、Eris等名字来作为销售称号,作者在Twitter上的谈话传播鼓吹该进击包包括多个阅读器的分歧破绽[1],本次发明的进击页面包括了近几年罕见的针对IE阅读器支流破绽。
二、挂马阐发
经由过程咱们的起源追溯,发明这次进击行为仍旧是采纳告白挂马的情势。进击者回避了在线告白运营商的检察上线了挂马页面,并抉择在色情网站上线展现,使得大批的用户在拜访时遭遭到了歹意进击。这类方法低成本高报答,能够或许敏捷的停止大规模进击,是以被愈来愈多的进击者所抉择[2]。
 

图1 全体挂马流程
本次挂马的网址为hxxp://howtoquitsmoking.review,图1提要展现了全部进击流程。
这个页面被假装成为了一个失常的网页,其重要内容是一篇对付“HOW TO QUIT SMOKING”的文章,在阅读过程中会载入一个js文件,经由过程该文件静静的加载进击页面:
http://howtoquitsmoking.review/loadCss.js
 

图2挂马假装页面
 

图3 加载代码
这个js文件内容如图所示,该文件停止了必定的加密和混杂,收拾后的内容以下:
 

图4 收拾后的加载代码
该段剧本用于向以后html文档中写入一个iframe,使阅读器拜访其指定的链接。写入的popunder.php页面是TerrorEK的进口,重要功效是跳转到后续的进击页面。这个页面中的内容是静态天生的,办事端会对这个页面拜访的哀求依据阅读器的User-Agent停止过滤,依据设置采纳分歧的进击战略并前往分歧的内容。咱们发明的这个页面中,假如是来自非IE阅读器的哀求,则会跳转到google主页下来,只要应用IE阅读器,才会继承加载下一步页面触发挂马行为,而且对付分歧的阅读器和操作系统,会前往分歧的进击页面。假如哀求的阅读器版本小于IE10,则接遭到的是一个包括较少破绽进击的页面,假如哀求的阅读器为IE10以上,则前往的是最全的破绽进击页面。
 

图5 进击页面
上面依照修复光阴一一列出这次挂马所应用的破绽信息。
1. CVE-2013-2551
这是个较旧的IE阅读器破绽,由于近几年新的破绽的呈现,较少呈现,不外本次挂马中仍旧保留了这个破绽的进击代码。
 

图6 CVE-2013-2551破绽代码
2. CVE-2014-6332
这是一个经典的IE阅读器VBScript破绽,在破绽被地下后便被大批用于收集挂马,这个破绽应用简略,海内黑产也曾屡次应用这个破绽在海内胜利停止了大规模的挂马进击。
 

图7 CVE-2014-6332破绽代码
3. CVE-2015-2419
该破绽平日是被外洋的EK所应用,在海内并无风行起来。这个破绽的地下代码颠末了必定混杂,改动起来有必定艰苦,而这次应用的代码,在以前地下的代码根基之上,又应用了javascript-obfuscator这个库停止二次混杂,是以较难识别进去起。对付该破绽在EK应用中的相干具体阐发,能够拜见[3],经由过程对该页面的调试发明这段破绽应用代码仍旧有问题,无奈失常履行。
 

图8 CVE-2015-2419破绽代码
4. CVE-2015-7645
该Flash文件是对破绽CVE-2015-7645 的应用,由于文件采纳了复杂的混杂和加密步伐,破绽的应用代码不克不及直观的展现进去,咱们经由过程二进制调试来肯定破绽编号,以下:
 

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载