欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

看Hidden Bee如何利用新型漏洞进行传播

来源:本站整理 作者:佚名 时间:2018-08-07 TAG: 我要投稿


写在前面的话
最近我们发现了一个试图利用CVE-2018-4878(Flash Player中的漏洞)漏洞的攻击,其序列与我们当前发现的任何漏洞利用工具都不一样。经过调查,我们发现这是中国安全公司奇虎360在2017年年底所引用的现有开发框架的一部分。但当时payload似乎是一个推广广告软件的木马。而这次使用的payload它不是一个标准的PE文件。相反,它更像是一种多阶段可执行格式,并且它还充当一个下载加载程序,用于检索隐藏的Bee miner僵尸网络使用的LUA脚本。这可能是第一个用来挖掘加密货币的bootkit案例。
广告概述
攻击者利用成人网站的诱惑性广告将受害者吸引到钓鱼页面。我们认为此系列广告主要针对亚洲国家地区用户,根据所投放的广告和我们已知的数据。这个声称是可以在线约会服务的服务器包含一个恶意的iframe,其主要负责开发和感染用户。


IE exploit
在这里,恶意代码从具有嵌入式加密块的网页开始执行。并采用Base64编码,然后使用RC4或Rabbit两种算法之一进行加密:

在解密之后,该块将被执行。您可以在这里找到正在运行的Java Script的解码版本。我们可以在脚本中看到,它会生成随机会话密钥,然后使用攻击者的公共RSA密钥对其进行加密:

加密的密钥将传递到下一个函数并转换为JSON格式,对硬编码的URL执行POST请求:

如果我们查看客户端和服务器之间的流量(客户端发送加密的“key”,服务器响应“value”),我们更明显发现这一点:

服务器端
1.攻击者的使用私有RSA密钥加密,服务器传递解密会话的密钥。
2.选择对称算法来(Rabbit或RC4)加密漏洞payload。
3.将加密的内容返回给客户端。由于客户端在内存中仍然有密钥的未加密版本,所以它能够解密并执行该漏洞。然而,只从通信流量不能检索原始会话密钥,也不可能重现漏洞。但幸运的是,我们在动态分析中成功捕获了漏洞。并且我们发现攻击者利用的漏洞是CVE-2018-8174。
Flash漏洞利用
这是一个较新的Flash漏洞(CVE-2018-4878)利用程序,在奇虎360发布文档时并不是其exploit kits的一部分,可能是为了增强其性能后来添加的。该漏洞中嵌入的shell代码仅仅是下一阶段的下载程序。成功利用后,它将在以下URL检索其payload:

这个扩展名为.wasm文件,伪造成一个Web Assembler模块。但事实上,它是完全不同的东西。
正如你所看到的,它加载了用于解压缩cabinet文件的Cabinet.dll模块。在后面的部分中,我们看到了用于通过HTTP协议进行通信的API和字符串。我们还发现了对“dllhost.exe”和“bin/i386/core.sdb”的引用。

我们很容易猜到这个模块将下载并利用dllhost.exe来运行。而另一个字符串Base64编码的内容为:

将其解码后的内容展现了更多的网址:
http://103.35.72.223/git/wiki.asp?id=530475f52527a9ae1813d529653e9501
http://103.35.72.223/git/glfw.wasm
http://103.35.72.223/rt/lsv3i06rrmcu491c3tv82uf228.wasm
看看Fiddler捕获的流量,我们发现其模块确实在查询这些URL:

请求来自dllhost.exe,这可能意味着上面的可执行文件已经被注入恶意代码。文件glfw.wasm与Web Assembly之间没有任何共同之处。事实上,它是一个Cabinet文件,包含内部路径下的打包内容:bin/i386/core.sdb。从内部看,我们发现了相同的自定义可执行格式,比如DLL名称:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载