欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

暗号“戒烟”:Terror EK集合八枚漏洞发起挖矿机挂马攻击

来源:本站整理 作者:佚名 时间:2017-09-12 TAG: 我要投稿
图9 CVE-2015-7645调试过程
在图中选中部门履行“sar eax,3”这条指令时,此时eax值为0x000000e2,该值的低三位(此处为2)表现的是数据的范例,依据AVMPLUS的界说,2表现BKIND_VAR范例,而失常情况下,此处应为BKIND_METHOD范例,其值应为1,这与CVE-2015-7645破绽的成因同等。
5. CVE-2015-8651
CVE-2015-8651破绽是在外洋黑客构造DarkHotel针对海内企业高管的进击行为中被发明的,随后外洋各个破绽进击包也敏捷整合了这个破绽。
 

图10 CVE-2015-8651破绽代码
6. CVE-2016-0189
CVE-2016-0189是客岁呈现的比拟新的阅读器VBScript破绽,破绽应用代码改写简略,短光阴内被大批进击者采纳。
 

图11 CVE-2016-0189破绽代码
7. CVE-2016-4117
今朝已知被应用的Flash破绽中最新的一个,罕见于各类外洋破绽进击包。
 

图12 CVE-2016-4117特性代码
8. CVE-2017-0037/0059
这两个组合破绽,是今朝针对IE阅读器的最新的能够应用的破绽,于2017年7月地下应用代码,如今逐渐被整合入破绽进击包中,然则今朝地下的破绽应用代码只能在64位Windows 7而且IE11版本
 

图13 CVE-2017-0037特性代码
 

图14 CVE-2017-0059特性代码
进击者经由过程以上多个破绽同时进击用户电脑,一旦胜利触发了某个破绽,都邑挪用shellcode在cmd敕令行中履行Jscript代码,而后下载歹意法式。
三、挖矿软件阐发
起首履行的歹意法式是应用SmokeLoader[4]作为加载掩护计划的一个加载器,这个加载器会经由过程多种办法回避检测,有比拟强的困惑性,具有必定的反抗主动化阐发才能。
起首SmokeLoader会停止反虚监控和反虚构机的检测,一旦检测到,则间接进入Sleep轮回再也不睁开功效。
 

图15 反虚构机功效
对一些C2等设置装备摆设信息,会停止加密保留,履行时才主动解密获得明文内容。
 

图16 解密功效
别的,比拟特别的一点是,该样本会拔取HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall的HelpLink中的正轨URL,停止收集拜访,表现出很强的困惑性。
 

图17 流量假装
而在下载功效PE过程中,会提议一个POST哀求,在前往数据中包括对应的PE,但这个哀求的HTTP前往代码是404差错,有比拟强的困惑感化,一样平常容易被疏忽。下载到的终极样本会注入WINDOWS进级过程wuapp.exe中,在后盾静静的停止门罗币挖矿。
依据软件内置信息中的账户设置,咱们能够从矿池查问到今朝的收益,能够看出这个帐号天天约莫能够或许支出0.2个门罗币,约合25刀。
 

图18 矿池信息
 

图19 算力变更
四、总结
这次进击者开释的是挖矿软件,跟着近期比特比等电子泉币价钱飞腾,愈来愈多的进击者抉择挖矿进击,比拟以前的打单软件,挖矿软件更能够或许供给连续的产出,而且在以后飞腾的电子泉币价钱下显得愈来愈划算。
这次挂马是咱们监测到的同时应用破绽最多的挂马进击变乱,进击者经由过程多个破绽的混杂进击能够或许有用的供给进击胜利率,这些破绽大多数曾经被修复,用户只需实时给系统打补钉并更新Flash到最新版本就能够免受进击,而360安全卫士也会从多个条理对网页挂马停止进攻,对已知和未知破绽停止有用拦阻,确保用户电脑平安。
本文由360 QEX团队和追日团队互助实现。
五、IOC信息
C2:
hxxp://newtryguys.win/
hxxp://shadowaproch.win/
hxxp://thenewthing.online/
hxxp://meemsaas.site/
hxxp://sossen.site/
hxxp://bumdid.site/
hxxp://youhap.online/
MD5:
bc2ae675e7fbc01a50b424d7c243fd9a hyefhqg6btgi.swf
c5c987b04916fef4ad283b1cb3c21191 ydfxe5glulrr.swf
28cfddc186a3b455dfa46261677373a1 y8tvhog8nvkb.swf
2C812EEB662E23546C3A135CD6391CB4 iedhebgc.exe
F3C8A3F61A15C05BC0DE9D60119C56D8 A3F5.tmp.exe

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载