Sundown攻击套件的升级

luochicun web安全 2019-01-12 10:37:11

147567

导语：早在2015年，安全研究人员就已经发现了Sundown，但当时Sundown还并不是很起眼。现在随着Sundown EK的兴起，其开发者也对这个套件进行了不断的升级，以不断满足各种攻击的需求。

Exploit Kit行业目前正在发生新的调整，原先许多具有攻击性的漏洞攻击套件或者消失，或者市场份额减少，比如Nuclear EK和AnglerEK这样的行业大鳄几乎在同一时间消失了，我们推测这可能与相关的俄罗斯黑客组织被捕有关。

目前网络上，被黑客利用最多的是Neutrino，RIG和Sundown，它们被用于勒索软件传播等黑客攻击。

什么是Sundown？

Sundown是近两年才异军突起的漏洞利用套件，填补了Angler和Nuclear这些大鳄的空缺。早在2015年，安全研究人员就已经发现了Sundown，但当时Sundown还并不是很起眼。现在随着Sundown EK的兴起，其开发者也对这个套件进行了不断的升级，以不断满足各种攻击的需求。

但由于Sundown开发时间较短，还缺乏其他大型漏洞利用套件的复杂性，另外在其Sundown的攻击代码中还出现了很多简单的，易于被检测到攻击标识符，所以Sundown EK也在这些方面进行了大量的升级。比如研究者发现，近期Sundown已经批量购买了很多到期的域名。

正在进行的升级

比如，为了提高攻击效率，Sundown的开发人员曾将控制面板和DGA算法部分外包给了一家叫做”YBN（Yugoslavian Business Network）”的组织，同时他们还移植了大量其他套件里面的漏洞利用代码。

Sundown包含了从Angler中移植的CVE-2015-2419代码，RIG的Silverlightexploit CVE-2016-0034，Hacking Team的CVE-2015-5119以及Magnitude 的CVE-2016-4117。

Sundown登陆页会进行简单的浏览器环境检查，不同的环境执行不同的payload，另外Sundown还曾经利用了许多Adobe Flash的漏洞。

直接访问Sundown登陆页会得到一个html页面，里面的数据解密后得到YBN组织的标志：

YBN组织的标志，而不包含恶意代码，只有请求中包含特定HTTP Referer才能攻击成功。

但由于这些移植过来的套件代码很容易在HTTP标头以及组织标识中被发现，而这些标识又是Sundown URL的用户用于经常浏览的。所以在过去几个月，这些移植过来的套件代码已经被Sundown的研发人员删除了。如下图所示，用于清楚识别YBN的HTTP标头现在已经没了。

原先可以识别出YBN的版本

目前没有YBN的登陆页版本

此外，如果用户尝试浏览登陆页网址，那么他们将会得到“HTTP 404”这样的错误提示。但是，与登陆页有关的其他更重要的升级正在进行中。以下是几个月前从Sundown看到的原始登陆页面。

这与RIG攻击套件有一些显着的相似之处，包括所有使用基于base64编码的文本块的三个变量。这非常类似于RIG使用's'变量，这些变量也涉及检索恶意swf文件。除此之外，我们还发现了Sundown使用了几种其他类型的混合代码，其中包括许多不同的字符。下面的例子显示了使用ASCII chr（）语法来作为混淆模式，这些都是在查看混淆代码时发现的常见技术。

原先的登陆页有很多变化，第一个变化可以在上面这个图中看到。Sundown的研发者现在已经对很多个移植过来的标识符进行了修改，比如，使用's'变量已被替换为随机字符串了。

从上图中，我们可以看到使用ASCII chr（）的字符已被替换成十六进制的了，最近的Sundown登陆页的相关代码中有很多注释。

Sundown已经开始使用Lorem Ipsum的文本。 Lorem Ipsum是一篇常用于排版设计领域的拉丁文文章，主要的目的为测试文章或文字在不同字型、版型下看起来的效果。基本上，Sundown登陆页面充满了随机的文字评论，以进一步试图阻碍分析。

回到Sundown登陆页面的解码版本，我们可以看到与利用页面的URL结构相关的其他几个更改。以前，Sundown使用的是数字子文件夹（即'/ 12346 /'）和具有适当扩展名的数字文件名（即'/496.swf'）。现在较新版本的Sundown对其进行了更改，下图就显示的是恶意Flash文件的其中一个请求。

语法现已更改为仅使用数字字符串作为查询请求“/ 7 /”的子文件夹，一些请求还将包括ID参数，此外，不再包含扩展。目前，我们还没有发现任何Silverlight漏洞，这表明Sundown已经放弃了试图利用Silverlight浏览器插件中的漏洞。日前，许多利用Silverlight的工具已经添加了一个基于公开PoC的Microsoft Edge漏洞。因为在目标网页本身还有另一个PoC存在的漏洞，所以这是Sundown中唯一的浏览器漏洞利用。

Sundown目前似乎仍然正在利用CVE-2016189，这是Internet Explorer和Windows的JScript和VBScript脚本引擎中的远程执行代码漏洞。在我们对漏洞套件登陆页的分析中，发现了另一个编码的漏洞利用页面。

如上图所示，我们发现，日前Sundown的开发者还在继续复制以前使用过的漏洞PoC，其中就包含CVE-2010189，不过，与PoC最大的不同是包含两个函数：overwrite2（）和fire（）。 fire（）是从exploit（）函数调用的主要函数，代替了PoC中原来的“notepad.exe”的执行，而与此同时，fire（）包含了开始执行有效载荷下载并通过cmd.exe执行的代码。

另外值得注意的是黑客借助Sundown来破坏系统，大多数漏洞利用套件将尝试在系统上漏洞攻击。通常我们会看到针对IE脚本的漏洞以及几个恶意的Flash文件，这种方法虽然非常混杂，但是也让Sundown成为黑客们的最佳选择。

有效载荷变化

我们在Sundown注意到的最大变化之一就是检索其有效载荷的方式，以前版本的Sundown将通过Web浏览器检索文件名为“z.php”的有效载荷，虽然新版本也要搜索文件名为“z.php”的有效载荷，但获得有效载荷和有效载荷位置的方法都有所改变。

Sundown现在通过命令行并使用wscript来检索其有效载荷，类似于RIG-v当前检索其有效载荷的方式。这并不奇怪，因为Sundown就是以 “借用”其他套件的技术和方法而成长起来的。以下是两个cmd.exe的获取请求，一个来自Sundown，一个来自RIG-v。在许多相似之处，代码都是一样的。显然，Sundown是从RIG-v套件移植过来的这部分代码。

Sundown有效载荷

RIG有效载荷

另一个变化是效载荷与用于检索登录和页面利用的服务器的位置分开了，虽然两个服务器共享一个共同的根域，但使用不同的子域：

不过目前，我们还无法访问Sundown的后端系统，无法确定这些文件的来源是否相同。但是，这是目前仅实现拆分服务器活动的漏洞套件。关于Sundown有效载荷的另一个注意事项是，它们不会被编码或加密（如上所示），这使得它们易于识别和分析。

监控Sundown的活动

我们一直在分析利用套件的活动，这其中也包括Sundown的活动，在监测Sundown活动的同时，我们也发现了大量的域名基础设施，并开始深入调查。 Sundown使用域通配符来托管其活动而不是像Angler EK使用域名阴影（Domain Shadowing）技术。域名阴影，是利用失窃的正常域名账户，大量创建子域名，从而进行钓鱼攻击。这种恶意攻击手法非常有效，且难以遏止。因为你不知道黑客下一个会使用谁的账户，所以几乎没有办法去获悉下一个受害者。

影响到域内任何内容的所有流量，可以导致所有子域都开始向客户端重定向到恶意内容，例如，通过使用通配符，网站的通用子域名为“www”，此子域将受到影响，将重定向到恶意服务器。于是，我们便开始寻找受影响的子域，以及它们之间的共同点。首先是与域名关联的注册人帐户使用的名称。在调查Sundown活动时，我们多次使用名称“Stivie Malone” 帐户进行登录的，另外我们还有一个常见的电子邮件地址是stiviemalone@gmail[.]com。非常有趣的一件事是，使用这个帐户的域名数量非常庞大。通常，当我们正在运行用于恶意活动的注册人帐户时，只有一百个或更少与该帐户相关联的注册人。在域名阴影的情况下，注册人帐户如果遭到入侵，用户通常不了解该情况。随着我们调查的继续深入，我们最终找到了一个正在利用gmail处理方式的注册人。利用这个电子邮件地址，我们发现了几个不同的注册人账户被绑定到同一个@gmail[.]com帐户。以下是发现的“stiviemalone”注册人帐户的变体案例。

· stivie.ma.lone@gmail.com

· stiviemalone@gmail.com

· stivie.malone@gmail.com

· sti.vie.malone@gmail.com

然后，我们开始使用名称“Stivie Malone”进行转移，并使用不同的电子邮件地址找到第二个注册人帐户，该电子邮件地址也用于托管Sundown。该注册人与porqish@europe[.]com的电子邮件地址有关。经过调查，我们发现与porqish@europe[.]com相关的总共有3000多个域名。

基于这些信息，我们开始深入挖掘这些注册用户如何拥有这样的非法活动域名，虽然域名注册商会对特定类型的TLD或其他域名进行促销，然而，我们所发现的这些域名是转移行为而不是购买行为。于是，我们开始研究这个特定的用户名，原来这是一个域名转售网络，专门用来大量购买过期或即将到期的域名。

域名转售

我们对这个特定演员的深入调查开始于大多数域名注册时所使用“Stivie Malone”的名称。由于这是一个奇怪的拼写名称，所以我们最开始的时候，对其进行了一个简单的Google搜索。如下所示，Google搜索顶部的结果与namepros [.]com绑定，该网站是域名转售网站。

域名的转售是个人使用的常见策略，尝试从已经注册的域名中获取价值，特别是如果这些域名即将到期。在经销商不打算续订的情况下，转售可以让他们从中获得一些剩余价值。于是，我们开始关注与这个特定用户相关的活动，并发现了一些相关的帖子。

如上图所示，这个用户就是在专门寻找大量的域名，并且这些域名最好在godaddy注册过。再看下一个回帖。

在上图中，我们可以清楚的看到，第一个帖子中的那位买家表现出对godaddy和namecheap注册域名的特别偏好。此外，我们还可以从中看到这些域名的买卖价格在0.10美元到0.60美元之间，并且不管在何种情况下，所使用的付款方式都是比特币。这就是这是一个很有吸引力的买卖渠道，购买者可以以很少的价格来购买到足够多的可用于攻击的域名。有趣的是，在其他一些帖子中，买家特别讨论了只需要能运行一周的域名。

这里我们发现了一个关键，如果买家购买域名的活动期限超过六个月，一些组织和技术机构就会将其定位合法域，因为这些组织会将域的使用期限视为评估域的合法性的一种标准。例如，一些技术机构会将在最近的X天注册的域默认为禁止选项，而买家通过购买超过六个月的域名，就可以让攻击者绕过这种禁止选项。另外值得注意的是，这个买家并没有购买域名的特定时间段，我们所找到的该用户活动，都是来自最近几个星期。

根据这些信息，我们目前还无法确定这些域购买是否确实发生过。然而，在挖掘注册人信息时，我们可以找到该用户购买大量域名的其他实例。最近的一个是在2017年完成的，在这几年里至少有500个域名被转移。然而这些被托管的域，正是几天之前，我们所发现的Sundown活动的域。有趣的是，与该用户相关联的签名块显示了这些域可能遇到与其基础架构有关的问题。

讽刺的是，在我们与这个买家进行沟通后，他竟然声称他们从来没有与从任何人发生过交易，他只说进行这种域名的买卖是不道德的。利用漏洞套件对这些域名进行的一些最常见的有效载荷是进行勒索和银行木马。

我们还观察到这个买家试图在寻求比特币和PayPal之间如何进行金额转换的帮助，看来这位买家正在尝试设置托管服务，他声称在整个交易量中一共使用过70个比特币，并提供5％的转换佣金。

正如我们在过去的域中发现的，托管恶意活动通常会在根域名上托管某种网页。对于这个买家也是如此，他似乎专门针对某种默认的域名管理页面进行买卖，如下所示。

此外，我们还根据这个买家帖子中的电话号码，进行了一些相关性搜索，发现它出现在一些主要的域名注册商网站上，似乎是GoDaddy及其子公司的技术支持号码。

Sundown的活动突然越来越隐蔽

正在我们正在与GoDaddy合作来进行相关活动的调查期间，我们观察到这些域名的买卖活动突然停止了，连来自Sundown的这些帐户的活动也停止了，我们注意到，买家已经开始出售这些以前使用的一些域名了。

经过进一步调查，我们确实发现了另外的有关Sundown的活动，这些活动正托管在与之前相同的购买过来的域名上。最新的Sundown已经不再使用Stivie Malone的任何变体，并已转移到完全隐私保护模式。此外，他们不再利用GoDaddy，而是转移到欧洲以外的注册商。最后，我们还没有查到与现有域名销售有关的额外活动。所以到现在为止我们还没有办法知道为什么Sundown的活动突然越来越隐蔽，但不管域名是否与GoDaddy有关，都无法阻止买家将以前的恶意域名转售给其他用户。

IP基础设施

在收集域架构数据后，我们开始分析在这个活动中使用的IP基础结构。通常，我们看到的利用套件服务器的活动时间期限都特别短，通常不超过几天。这点很重要，因为服务器能被快速识别和列入黑名单，并被域名提供商关闭。但Sundown EK 里的域名似乎并不遵循这个规律，在某些情况下，服务器往往会允许这些域名运行很长的时间。

此外，Sundown EK的最新活动也显示了与过去利用套件活动相同的特点，比如，某些域名提供商已被大量杠杆化，并且有一些IP地址似乎是一个连续的地址块。这通常表示在服务器被阻塞或关闭时，有买家购买了一组服务器并从一个服务器移动到了另一个服务器。以下是通过IP进行旋转的图例，类似于过去Angler漏洞套件。