一、概述
十月初以來,360安全團隊監測到一個通過色情網站廣告利用漏洞攻擊包散布Ceber系列勒索軟件的掛馬行為,其技術手段高超,漏洞觸發率高,缺乏專業安全軟件保護的網友極易中招。此次掛馬也是360QEX團隊第二次檢測到國內大范圍利用漏洞攻擊包進行掛馬的行為,相比之前我們檢測到NeutrinoEK掛馬行為[1],又有著新的特點,本文將著重分析其利用漏洞掛馬手段。
二、掛馬分析
這次掛馬主要是依靠在線廣告來進行傳播,當你瀏覽部分色情網站的時候,一旦觸發點擊頁面事件,便會彈出一個廣告頁面,其中一個廣告頁面便會跳轉到這個攻擊包的Gate跳轉頁面hxxp://takenloop.biz,隨后加載攻擊代碼,其攻擊流程圖如圖1所示。
圖1 攻擊流程
Gate跳轉頁面的主要功能是根據IP、瀏覽器User-agent過濾請求,例如使用美國IP代理訪問該頁面,則返回的完全是一個正常的頁面,但是如果直接使用國內IP訪問,則會重定向至掛馬頁面,甚至有段時間內,對于IE瀏覽器直接跳轉到一個無法訪問的統計頁面。
接下來的Index.html頁面開始引入攻擊代碼,其同時含有一段VBScript和Javascript代碼,這兩部分代碼均被混淆過。其中Javascript代碼功能較為簡單,主要功能是采用兼容方式去加載aa.swf;而VBScript代碼則是基于CVE-2016-0189的POC修改而來,并下載執行exe。CVE-2016-0189漏洞是近期非常流行的IE漏洞,該漏洞利用簡單影響范圍廣,目前已經普遍的被各個攻擊包用于替換CVE-2014-6332漏洞[2]。
圖2 VBScript下載代碼
圖3 CVE-2016-0189利用代碼
隨后訪問的aa.swf文件會針對用戶本地不同的Flash版本(包含在HTTP Header中的x-flash-version字段中)返回不同的文件版本,如果不帶版本號,則返回一個加載ab.swf的Flash。
表1 不同版本獲取的Flash文件
首先看下樣本f84b34835f957a7c5677712804c02bb3的代碼,整體代碼比較簡單,其功能是在服務器沒有獲得Flash版本信息的情況下,獲取Flash版本信息作為拼接到ab.swf后面,形如hxxp://202.168.154.205/ab.swf?win 22,0,0,209,然后加載該文件。該Flash代碼中最明顯的特征是采用了針對字母和數字的凱撒密碼來對字符串進行加密解密,凱撒密碼是最基礎的加解密算法,但是在攻擊包中很少利用,這也是該攻擊包的一個特征。
圖4 加載Flash代碼
余下的各個漏洞Flash,采用了DComSoft SWF Protector和secureSWF的加密,加大了分析難度,DComSoft SWF Protector會把原始的Flash文件加密分散到多個BinaryData中;而secureSWF則會提取所有的字符串常量加密保存在BinaryData中并混淆代碼流程,導致難以直接反編譯分析。通過對這些Flash文件的解碼,可以確認表1中所示的各個漏洞。這些掛馬漏洞,與我們之前分析的NeutrinoEK所使用的漏洞一致,請具體參考[1]。
對于ab.swf文件,如果是通過hxxp://202.168.154.205/ab.swf?win 22,0,0,209訪問實際返回的是404錯誤,懷疑可能其后臺處理代碼邏輯存在問題(理想情況下應該返回類似aa.swf的不同Flash攻擊代碼),但是如果不帶參數的直接訪問網址hxxp://202.168.154.205/ab.swf,則返回的是文件e64501e845c57e87d69e17921068621b,與某個版本的aa.swf文件一致。
圖5 漏洞觸發執行流程
漏洞觸發后,會調用powershell和VBScript腳本下載執行勒索軟件。加密的后綴是隨機的字符,隨后用戶桌面背景會換成相關提示,并彈出一個對話框,可見這個勒索軟件是cerber4 [3]。這個對話框會自動根據當前系統語言,返回對應的版本翻譯內容,而且其中文提示還非常本地化,很溫馨的說如果不會安裝使用Tor瀏覽器,請訪問百度搜索”怎么安裝Tor瀏覽器“,訪問提示的網頁,會提示支付1比特幣,更詳細的cerber4的分析請參考[5]。
圖6 勒索提示
三、攻擊包特點分析
這次掛馬攻擊利用廣告系統進行傳播,用戶的觸發量非常可觀,同時因為廣告投放的不確定性,也給我們追蹤掛馬來源帶來了非常大的難度,導致我們一度難以定位。
與之前我們對NeutrinoEK分析對比可見,目前該攻擊包采用了目前流行的漏洞組合,漏洞利用水平非常高,但是這個攻擊包與NeutrinoEK相比又有不同特點,其自我保護措施較差,雖然使用了Gate技術來過濾部分請求,但是沒有采用常見的ShadowDomain[4]技術去不停變換掛馬網址,而使用了固定的ip網址;Flash文件也是不需要參數傳遞就可以運行,非常容易進行重放分析;也沒有常見的利用IE信息泄露漏洞對系統環境進行檢測的代碼,因此整體給人一種技術水平錯位的感覺。
另外一個特點是當以美國的代理IP訪問時,會直接獲得404,從提交到VT的記錄是由服務器直接返回404錯誤,可見該攻擊包針對不同地區的IP有做區別處理,反倒是大陸、臺灣、韓國的IP可以正常訪問,因此我們懷疑這次是對國內的定向掛馬。
圖8 VT提交記錄
整體而言,雖然所使用的漏洞是常見的并且符合當前活躍攻擊包的技術水平,但是其網址特征、頁面流程和參數傳遞等技術特點卻與目前活躍的NeutrinoEK、RigEK、MagnitudeEK不同,比較其Flash漏洞利用代碼與Magnitude有一定的相似度,對此我們將繼續關注。
四、總結
勒索軟件獲得的收益非常大,因此往往會采用最高級復雜的攻擊手段來廣泛傳播和躲避查殺。近期勒索軟件又有活躍的趨勢,此次掛馬行為雖然很快被我們發現,但是網上仍然不斷有用戶反饋中招,該掛馬截至目前為止仍然處于活躍狀態,我們也一直在持續對其進行監測。
為了防止感染勒索軟件,請大家務必及時更新Flash并打上最新的系統補丁,不要隨意單擊運行郵件中的文件。而很多掛馬是通過廣告服務進行傳播,所以盡量選擇具備廣告攔截功能的瀏覽器避免打開無用的廣告。
圖8 360安全衛士攔截漏洞利用效果圖
目前360安全衛士會結合QEX非PE引擎靜態掃描功能和動態行為檢測,能夠有效攔截這類漏洞攻擊并阻止惡意軟件的運行,在最新版360安全衛士11.0中還提供了反勒索軟件服務,如果用戶在開通反勒索軟件服務的情況下仍然中毒造成損失的,360會負責賠付最高3比特幣(約13000元人民幣)的贖金,并協助還原加密文件。
本文由360 QEX引擎團隊撰寫,感謝360追日團隊和網絡安全研究院在本次掛馬來源定位過程中的技術支持。
參考文獻
[1] NeutrinoEK來襲:愛拍網遭敲詐者病毒掛馬 http://bobao.360.cn/news/detail/3302.html
[2] CVE-2016-0189 (Internet Explorer) and Exploit Kit
http://malware.dontneedcoffee.com/2016/07/cve-2016-0189-internet-explorer-and.html
[3] Several Exploit Kits Now Deliver Cerber 4.0
http://blog.trendmicro.com/trendlabs-security-intelligence/several-exploit-kits-now-deliver-cerber-4-0/
[4] Threat Spotlight: Angler Lurking in the Domain Shadows https://blogs.cisco.com/security/talos/angler-domain-shadowing
[5] 【木馬分析】Cerber敲詐者家族再升級:Cerber4變身隨機后綴 http://bobao.360.cn/learning/detail/3108.html
附錄
IOC信息:
京公網安備 11010502049343號