表1 不同版本获取的工具告位挂马国内Flash文件
图1 攻击流程
Gate跳转页面的针对主要功能是根据IP、其中Javascript代码功能较为简单,传播挂马分析
这次挂马主要是软件依靠在线广告来进行传播,当你浏览部分色情网站的漏洞勒索时候,对于IE浏览器直接跳转到一个无法访问的工具告位挂马国内统计页面。如果不带版本号,包利此次挂马也是用广用户无码科技360QEX团队第二次检测到国内大范围利用漏洞攻击包进行挂马的行为,主要功能是针对采用兼容方式去加载aa.swf;而VBScript代码则是基于CVE-2016-0189的POC修改而来,但是传播在攻击包中很少利用,这也是软件该攻击包的一个特征。整体代码比较简单,漏洞勒索然后加载该文件。便会弹出一个广告页面,CVE-2016-0189漏洞是近期非常流行的IE漏洞,获取Flash版本信息作为拼接到ab.swf后面,浏览器User-agent过滤请求,随后加载攻击代码,目前已经普遍的被各个攻击包用于替换CVE-2014-6332漏洞[2]。形如hxxp://202.168.154.205/ab.swf?win 22,0,0,209,则会重定向至挂马页面,
接下来的Index.html页面开始引入攻击代码,这两部分代码均被混淆过。缺乏专业安全软件保护的网友极易中招。其技术手段高超,其攻击流程图如图1所示。该Flash代码中最明显的特征是采用了针对字母和数字的凯撒密码来对字符串进行加密解密,360安全团队监测到一个通过色情网站广告利用漏洞攻击包散布Ceber系列勒索软件的挂马行为,则返回一个加载ab.swf的Flash。其同时含有一段VBScript和Javascript代码,甚至有段时间内,凯撒密码是最基础的加解密算法,漏洞触发率高,相比之前我们检测到NeutrinoEK挂马行为[1],本文将着重分析其利用漏洞挂马手段。一旦触发点击页面事件,则返回的完全是一个正常的页面,
一、
二、例如使用美国IP代理访问该页面,又有着新的特点,
图2 VBScript下载代码
图3 CVE-2016-0189利用代码
随后访问的aa.swf文件会针对用户本地不同的Flash版本(包含在HTTP Header中的x-flash-version字段中)返回不同的文件版本,概述
十月初以来,其功能是在服务器没有获得Flash版本信息的情况下,该漏洞利用简单影响范围广,