用于恶意广告活动的Fallout Exploit Kit传播GandCrab勒索软件

TRex 勒索软件 2018年9月12日发布
Favorite收藏

导语:在FireEye发布的报告中,观察到Fallout Exploit Kit在Windows机器上安装GandCrab ,macOS用户将被访问者重定向到推广虚假防病毒软件或虚假Adobe Flash Player的页面。

在2018年8月底,FireEye发现了一个新的漏洞利用工具包(EK),作为影响日本,韩国,中东,南欧和亚太地区其他国家用户的恶意广告活动的一部分。

该活动的第一个实例于2018年8月24日在域名finalcountdown [.] gq上观察到。总部位于东京的研究人员nao_sec于8月29日确定了此活动的一个实例,并在博客中将漏洞攻击套件称为Fallout Exploit Kit。作为研究的一部分,我们观察了与广告系列相关的其他域名、区域和有效载荷。除了nao_sec博客文章中提到的在日本传播的SmokeLoader,GandCrab勒索软件在中东传播,我们将在这篇博文中重点关注GandCrab。

如果用户配置文件与感兴趣的目标匹配,则Fallout EK提取用户浏览器配置文件指纹并传送恶意内容。如果成功匹配,则会将用户从真正的广告客户页面(通过多个302重定向)重定向到漏洞利用工具包登陆页网址。从合法域名、cushion domains,然后到漏洞利用工具包登陆页面的完整链如图1所示。

图1:Malvertisement重定向到Fallout Exploit Kit登录页面

主广告页面会在加载广告时预先缓冲区域名链接,并在浏览器中禁用JavaScript时使用<noscript>标记加载单独的链接(图2)。

图2:第一个广告页面中的内容

在此博文前面未提及的区域中,'link rel =“dns-prefetch”href“'标记具有不同的值,并且广告不会导致漏洞利用工具包。通过302的完整重定向链如图3,4和5所示

图3:302重定向到漏洞利用套件控制的缓冲服务器

图4:漏洞利用工具包登陆页面之前的另一个重定向

图5:用户到达漏洞攻击包登录页面之前的最后一次重定向

登陆页的URI不断变化,这是通用模式,使得依赖于基于特定模式检测的IDS解决方案变得更加困难。

根据浏览器/操作系统配置文件和用户的位置,广告活动要么使用漏洞利用工具包,要么尝试将用户重新路由到其他社交工程活动。例如,在美国完全修补的macOS系统上,恶意广告将用户重定向到类似于图6和图7中所示的社交工程。

图6:Mac用户的虚假AV提示

图7:虚假Flash下载提示

该策略与FireEye一段时间以来观察到的社交工程的兴起是一致的,其中不良攻击者使用它们来定位完全修补系统或任何因操作系统/软件配置文件不当引发漏洞利用的用户。在北美的许多社会工程活动中,此次活动所涉及的恶意重定向也被大量滥用。

FireEye动态威胁情报(DTI)显示,该活动已触发政府、电信和医疗保健行业客户的警报。

一、登陆页

最初,登陆页面仅包含VBScript漏洞(CVE-2018-8174)的代码。但是,后来添加了Flash嵌入代码,以便更可靠地执行有效载荷。

登陆页将VBScript代码保留为“<span>”标记中的Base64编码文本。它在页面加载时加载JScript函数,它解码下一阶段VBScript代码并使用VBScript ExecuteGlobal函数执行它(图8)。

图8:登陆页面的片段

图9显示了解码恶意VBScript代码的JScript函数。

图9:Base64解码函数

Flash嵌入代码位于'noscript'标记内,仅在禁用脚本时加载(图10)。

图10:Flash嵌入代码

解码的VBScript代码利用CVE-2018-8174漏洞并执行shellcode(图11)。

图11:解码的VBScript

shellcode在%temp%文件夹下载XOR的有效载荷,对其进行解密、执行(图12)。

图12:解密为4072690b935cdbfd5c457f26f028a49c的XOR二进制传输

二、有效载荷分析 (4072690b935cdbfd5c457f26f028a49c)

恶意软件包含PE Loader代码,用于初始加载和最终有效载荷执行(图13)。

图13:从PE加载程序导入解析程序

解压缩的DLL 83439fb10d4f9e18ea7d1ebb4009bdf7首先初始化一个指向恶意软件核心功能的函数指针结构(图14)。

图14:使用函数指针填充的核心结构

然后它枚举所有正在运行的进程,创建它们的crc32校验和,并尝试将它们与列入黑名单的校验和列表进行匹配。表1列出了校验和列表及其相应的进程名称。

3.png

表1:列入黑名单的校验和

如果有进程校验和匹配,则恶意软件进入无限循环,从此时起有效的变为良性(图15)。

图15:列入黑名单的CRC32检查

如果此检查通过,则会启动一个新线程,其中恶意软件首先获取“SeShutdownPrivilege”并检查其自己的映像路径、操作系统版本和体系结构(x86 / x64)。对于OS版本6.3(Windows 8.1 / Windows Server 2012),执行以下步骤:

· 获取SeTakeOwnershipPrivilege,并取得C:\Windows\System32\ctfmon.exe的所有权

· 如果在WoW64下运行,则通过Wow64DisableWow64FsRedirection禁用WoW64重定向,以便能够替换64位二进制文件

· 将C:\Windows\System32\ctfmon.exe替换为自身副本

· 检查ctfmon.exe是否已在运行。如果没有,通过注册表项\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run将其自身添加到启动

· 调用ExitWindowsEx重启系统

在其他OS版本中,执行以下步骤:

· 获取SeTakeOwnershipPrivilege,并取得C:\Windows\System32\rundll32.exe的所有权

· 如果在WoW64下运行,则通过Wow64DisableWow64FsRedirection禁用WoW64重定向,以便能够替换64位二进制文件

· 将C:\Windows\System32\rundll32.exe替换为其自身的副本

· 通过注册表项\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run其自身添加到启动

· 调用ExitWindowsEx重启系统

在任何一种情况下,如果恶意软件无法成功替换系统文件,它将在表2中列出的位置复制自身,并通过ShellExecuteW执行。

4.png

表2:备用路径

执行时,恶意软件会检查它是作为ctfmon.exe/rundll32还是表2中的可执行文件运行。如果此检查通过,则downloaded 分支开始执行(图16)。

图16:镜像路径检查后的downloader代码执行

创建互斥锁“Alphabeam ldr”以防止多次执行。此时解码有效载荷URL。编码数据通过mov操作复制到blob(图17)。

图17:正在复制编码URL

使用图18中所示的算法设置32字节XOR密钥。

图18:XOR密钥生成

5.png

最后,使用XMM寄存器及PXOR完成实际解码(图19)。

图19:有效载荷URL XOR解码

这为downloader switch循环执行提供了方法(图20)。

图20:响应/下载处理程序

表3显示了HTTP请求的细分、预期响应(其中body = HTTP响应主体)以及相应的操作。

111.png

表3:HTTP请求,响应和行为

请求序列导致GandCrab ransomware被恶意软件提取并手动加载到内存中。图21和图22显示了示例请求#1和请求#2,分别导致GandCrab(8dbaf2fda5d19bab0d7c1866e0664035)的下载和执行。

图21:请求#1从有效载荷URL获取初始命令序列

图22:请求#2下载手动加载到内存中的GandCrab勒索软件

三、总结Conclusion

近年来,地下行动的逮捕和破坏导致漏洞利用工具包活动严重下降。但是,漏洞利用工具包对未运行完全修补系统的用户构成了重大威胁。如今,我们在亚太地区看到了更多的漏洞利用工具包活动,用户往往拥有更多易受攻击的软件。与此同时,在北美,重点往往是更直接的社会工程活动。

FireEye Network Security会检测本文中提到的所有漏洞利用、社交工程活动、恶意软件以及命令和控制通信。多个FireEye产品中使用的MVX技术可检测本文中描述的第一阶段和第二阶段恶意软件。

IOC

22222222222222222222.png

本文翻译自:https://www.fireeye.com/blog/threat-research/2018/09/fallout-exploit-kit-used-in-malvertising-campaign-to-deliver-gandcrab-ransomware.html如若转载,请注明原文地址: http://www.4hou.com/typ/13508.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论