您现在的位置是:首页 > 密码破解

NeutrinoEK袭来:爱拍网遭敲诈者病原体镜像劫持

作者:果E安全网时间:2020-10-24 00:16:41分类:密码破解

简介EK(Exploitkits)主要是运用系统漏洞镜像劫持的黑客工具包,现阶段时兴的EK大多数被用以散播敲诈者病原体。但过去海外的EK非常少在中国出現,这一方面是因为这种EK的网站地址无法浏览,另一方面也是中国客户为敲诈者病原体付款BTC保释金的难度系数较高,

EK(Exploit kits)主要是运用系统漏洞镜像劫持的黑客工具包,现阶段时兴的EK大多数被用以散播敲诈者病原体。但过去海外的 EK非常少在中国出現,这一方面是因为这种EK的网站地址无法浏览,另一方面也是中国客户为敲诈者病原体付款BTC保释金的难度系数较高,不易造成“盈利”。

但是就在近期,360安全精英团队检验到在爱拍网(aipai.com)上出現海外攻击包镜像劫持散播敲诈者病原体的状况,这就是知名的NeutrinoEK。

在浏览爱拍网时,会常常根据hxxp://apas.aipai.com/www/delivery/ajs.php任意载入广告宣传js脚本,而这一 js便是一切的元凶。一旦回到的脚本是hxxp://if.eagleholic.com/decreased/satisfactory/header.js,便会载入 NeutrinoEK的降落网页页面。

Clipboard Image.png

图1 ajs.php任意载入js

可能是NeutrinoEK的本身安全防护体制,或是是互联网缘故,这一js脚本并并不是每一次都能开启,常常开启获得的是空內容或是 404,可是有时候一次获得內容取得成功,则就进到来到NeutrinoEK的攻击范畴中。

Clipboard Image.png

图2 置入NeutrinoEK的iframe

获得的js脚本会全自动在当今网页页面中置入一个iframe,载入NeutrinoEK 的网站地址,这一网站地址基础全是一次性的,浏览之后会迅速产生变动,因而现阶段再度浏览该网页页面,早已没法再现。

Clipboard Image.png

图3 NeutrinoEK落地页

有别于别的EK攻击包,NeutrinoEK的网页页面十分简约,只是是简易的载入了一个Flash ,这一Flash作用十分强劲,可以开展版本号判断,检验一些功能测试自然环境,对于不一样的IE和Flash 版本号运作相匹配的漏洞检测代码。

这一获得的Flash仅仅一个加密机壳,真实的攻击代码Flash必须解密后才可以见到,在反汇编获得的代码中带有很多的废弃物代码,影响剖析。历经梳理后,能够发觉解密优化算法是 RC4,解密密匙储存在一个binaryData构造中。伴随着事后代码剖析的深层次,我们可以发觉NeutrinoEK所应用的全部加解密优化算法全是 RC4,而且解密密匙都相对性较短。

Clipboard Image.png

图4 免费下载获得的Flash

机壳Flash会将好几个binaryData合拼在一起,解密获得第二个Falsh 文档,随后载入这一Flash,而且向其传送一样由BinaryData解密出去的运作配备信息内容。解密的Flash 则会最先会载入js脚本,应用res协议书开展一些防护软件和vm虚拟机检测实际操作。

Clipboard Image.png

图5 检验杀松软vm虚拟机

Clipboard Image.png

图6 载入不一样系统漏洞脚本

随后依据系统软件IE/Flash的版本号检测結果,释放出来载入不一样的html/VBScript和Flash 用以攻击。这种攻击代码依然是根据RC4加密后储存在binaryData字段名中,Html 代码为了更好地降低图片大小,都被缩小过。针对释放出的Flash,则根据SharedObject的方式,将payload 的有关参数传递进来。

历经进一步的解密剖析,关键运用到的系统漏洞序号以下:

Clipboard Image.png

图7 CVE-2016-0189代码

Clipboard Image.png

图8 CVE-2014-6332代码

Clipboard Image.png

图9 CVE-2015-8651代码

Clipboard Image.png

图10 CVE-2016-1019代码

Clipboard Image.png

图11 CVE-2016-4117代码

载入的Flash根据另外运用所述系统漏洞,做到最后实行shellcode的目地,shellcode 关键作用是释放出来了一个js文件,并启用wscript实行该文件,实行的cmd以下:

Clipboard Image.png

Clipboard Image.png

图12 Flash释放出来的js文件

这一js文件是加密搞混过的一段很简短的代码,脚本运作时的主要参数作用分别是payload的下载网址,解密密匙,免费下载应用的 UserAgent。而免费下载的程序流程则要开展解密,才获得最后强制执行的PE程序流程。最后js脚本会启用 regsvr32去申请注册被解密的PE程序流程,根据这类方式最后使PE程序运行起來,这一 PE文档可以的话的是一个敲诈者病原体。

Clipboard Image.png

图13 js脚本三个起动主要参数的应用情景

Clipboard Image.png

图14 js脚本免费下载回家的待解密数据信息

Clipboard Image.png

图15 解密后的详细PE文档

Clipboard Image.png

图16 js脚本启用regsvr32根据申请注册控制的方法运作解密后的PE程序流程

PE尽管被解密出去,但文档中仍然带有很多的废弃物命令来影响剖析。该程序流程最先会根据进行互联网要求来获得勒索信息内容和加密密匙PAB.KEY。

Clipboard Image.png

图17 依据包的第一字节数回到数据信息

Clipboard Image.png

图18 载入免费下载回家的勒索信息内容和加密密匙

随后开展加密实际操作,这一敲诈者程序流程很聪慧的逃避了较为比较敏感的系统软件本地磁盘,而只加密别的本地磁盘下的文档,用于绕开防护软件的监管。而加密的后缀名也是以一长串可选择的后缀名中选择的。

Clipboard Image.png

图19 绕过C盘而只对别的盘文档开展加密

Clipboard Image.png

图20 恶意代码鉴别的待加密文件后缀名

被加密后的文档分成两一部分,第一部分是PAB.KEY中的內容,第二一部分是文档被加密后的內容。

Clipboard Image.png

图21 被加密格式文件

最后,客户被勒索2.4BTC,如今比特币价格起伏很大,仅参照写文中时的价钱看来,2.4 BTC折合rmb10000元上下,也算作价格昂贵了。

Clipboard Image.png

图22 加密进行后桌面背景被伪造

Clipboard Image.png

图23 依据提醒寻找付钱网页页面

全部全过程剖析出来,不会太难发觉NeutrinoEK是现阶段时兴的水准较高的攻击包,全部数据信息都历经加密,一层套一层,js 代码都历经了一定的搞混,释放出来的敲诈者也选用了多种多样阴谋避开剖析,随处表露着与杀松软剖析工作人员的抵抗,具有较高的剖析难度系数;另外选用好几个系统漏洞攻击,代码技术实力高,镜像劫持成功率较高,伤害大。

爱拍网具备很大的浏览量,可是所幸客户开启镜像劫持的几率较为低,无法导致大范畴的感柒。由于敲诈者病原体加密后的文档基本上不能修复,给受害人导致的损害极大,期待相关网站可以严苛审批广告宣传,防止对网址客户造成不良影响。

Clipboard Image.png

图24 360阻拦Flash漏洞检测攻击(根据Fiddler数据信息播放)

现阶段对于Flash的漏洞检测五花八门,每个EK工具箱也选用了多种多样加密搞混方式避开电脑杀毒软件的静态数据扫描仪,因而较难防御力,对于此事 360安全护卫及电脑浏览器应用QEX模块静态数据扫描仪作用,并融合动态性阻拦技术性阻拦各种各样Flash系统漏洞攻击,更为合理的护卫客户电脑上。另外也提议客户立即升級 Adobe Flash Player的版本号,提升对系统已经知道系统漏洞的免疫能力。

l? 有关文档Hash:

853f760678f901a0ff46777c6a68949b

3e7f75ff27e3e5721a90ac9ed32bed73

dcb84dfdc17743b63943b62e03c0c134

l? Dump出去的文档

4bff486e3d7a98e710e82ae7c486b0cc

0aa6502074b83a466262f3f85c929cb7

fe8332e7fbfc17a8fa1848a86b9dde21

c236d3ec78fef67f07eb99ed50fbd58e

e5f4a8c574a2147017f193f085304ed7

f0149617e43f1d24cc9150e6c204206d

l? 有关网站域名网站地址:

http://pompeijverblik.paydayloan.uk.com

91.220.131.147

*文中创作者:360安全护卫(公司账号),转截须标明来源于联合利华信息平台网(联合利华信息平台网.COM)

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句