看Hidden Bee如何利用新型漏洞进行传播

是以我们觉得它集中在少数几个亚洲国家,不仅如斯,它还注解要挟行动者并没有完全放弃exploit kits,只管在以前几年有显着的下降趋势

写在前面的话

近来我们发清楚明了一个试图使用CVE-2018-4878(Flash Player中的破绽)破绽的进击,其序列与我们当前发明的任何破绽使用对象都不一样颠末查询造访,我们发明这是中国安然公司奇虎360在2017年事尾所引用的现有开拓框架的一部分但当时payload彷佛是一个推告白白软件的木马而此次应用的payload它不是一个标准的PE文件相反,它更像是一种多阶段可履行款式,并且它还充当一个下载加载法度榜样,用于检索暗藏的Bee miner僵尸收集应用的LUA脚本这可能是第一个用来掘客加密泉币的bootkit案例

广告概述

进击者使用成人网站的诱惑性广告将受害者吸引到钓鱼页面我们觉得此系列广告主要针对亚洲国家地区用户,根据所投放的广告和我们已知的数据这个声称是可以在线约会办事的办事器包孕一个恶意的iframe,其主要认真开拓和感染用户

IE exploit

在这里,恶意代码从具有嵌入式加密块的网页开始履行并采纳Base64编码,然后应用RC4或Rabbit两种算法之一进行加密:

在解密之后,该块将被履行您可以在这里找到正在运行的Java Script的解码版本我们可以在脚本中看到,它会天生随时机话密钥,然后应用进击者的公共RSA密钥对其进行加密:

加密的密钥将通报到下一个函数并转换为JSON款式,对硬编码的URL履行POST哀求:

假如我们查看客户端和办事器之间的流量(客户端发送加密的“key”,办事器相应“value”),我们更显着发明这一点:

办事器端

1.进击者的应用私有RSA密钥加密,办事器通报解密会话的密钥

2.选择对称算法来(Rabbit或RC4)加密破绽payload

3.将加密的内容返回给客户端因为客户端在内存中仍旧有密钥的未加密版本,以是它能够解密并履行该破绽然而,只从通信流量不能检索原始会话密钥,也弗成能重现破绽但幸运的是,我们在动态阐发中成功捕获了破绽并且我们发明进击者使用的破绽是CVE-2018-8174

Flash破绽使用

这是一个较新的Flash破绽(CVE-2018-4878)使用法度榜样,在奇虎360宣布文档时并不是其exploit kits的一部分,可能是为了增强其机能后来添加的该破绽中嵌入的shell代码仅仅是下一阶段的下载法度榜样成功使用后,它将在以下URL检索其payload:

这个扩展名为.wasm文件,捏造成一个Web Assembler模块但事实上,它是完全不合的器械

正如你所看到的,它加载了用于解压缩cabinet文件的Cabinet.dll模块在后面的部分中,我们看到了用于经由过程HTTP协议进行通信的API和字符串我们还发清楚明了对“dllhost.exe”和“bin/i386/core.sdb”的引用

我们很轻易猜到这个模块将下载并使用dllhost.exe来运行而另一个字符串Base64编码的内容为:

将其解码后的内容展现了更多的网址:

http://103.35.72.223/git/wiki.asp?id=530475f52527a9ae1813d529653e9501

http://103.35.72.223/git/glfw.wasm

http://103.35.72.223/rt/lsv3i06rrmcu491c3tv82uf228.wasm

看看Fiddler捕获的流量,我们发明其模块确凿在查询这些URL:

哀求来自dllhost.exe,这可能意味着上面的可履行文件已经被注入恶意代码文件glfw.wasm与Web Assembly之间没有任何合营之处事实上,它是一个Cabinet文件,包孕内部路径下的打包内容:bin/i386/core.sdb从内部看,我们发清楚明了相同的自定义可履行款式,比如DLL名称:

[1] [2]下一页

然后另一个问题是介入者可能试图经由过程装作应用SLTP协议来检索实际payload来暗藏流量,这可以在从核心内部的Cabinet文件中提取的字符串core.sdb中发明这一点:

INSTALL_SOURCE

&sid=%u

INSTALL_SID

INSTALL_CID

sltp://setup.gohub[.]online:1108/setup.bin?id=128

ntdll.dll

ZwQueryInformationProcess

VolumeNumber

SCSIDISK

os=%d&ar=%d

kernel32.dll

IsWow64Process

RtlGetNtVersionNumbers

%02x

&sz=

sltp

该主机名解析为67.198.208[.]110:

Pinging setup.gohub.online [67.198.208.110] with 32 bytes of data:

Reply from 67.198.208.110: bytes=32 time=76ms TTL=51

来自沙盒谋略机的加密TCP收集流量显示了若何检索二进制的payload:

可见全部payload开拓和检索历程相称繁杂,假如斟酌到活动背后的目的是用来开采加密泉币时,那么也不难想到:

这个矿机的独特之处在于,它经由过程应用bootkit实现持久性,如本文所述受感染的主机将改动其主向导记录,以便在每次操作系统启动时启动矿机

简单payload的繁杂进击

这种进击在许多方面上都很故意思,由于它在破绽使用交付部分中应用了不合的技巧以及不合的打包payload技巧

IOC

受污染的交友网站

144.202.87[.]106

exploit kits

103.35.72[.]223

52he3kf2g2rr6l5s1as2u0198k.wasm

087FD1F1932CDC1949B6BBBD56C7689636DD47043C2F0B6002C9AFB979D0C1DD

glfw.wasm

CCD77AC6FE0C49B4F71552274764CCDDCBA9994DF33CC1240174BCAB11B52313

Payload URL 和 IP

setup.gohub[.]online:1108/setup.bin?id=128

67.198.208[.]110

Miner Proxy

133.130.101[.]254

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包