十月初以来,漏洞勒索
一、工具告位挂马国内挂马分析
这次挂马主要是包利无码科技依靠在线广告来进行传播,目前已经普遍的用广用户被各个攻击包用于替换CVE-2014-6332漏洞[2]。此次挂马也是传播360QEX团队第二次检测到国内大范围利用漏洞攻击包进行挂马的行为,浏览器User-agent过滤请求,软件随后加载攻击代码,漏洞勒索便会弹出一个广告页面,工具告位挂马国内该Flash代码中最明显的包利特征是采用了针对字母和数字的凯撒密码来对字符串进行加密解密,其攻击流程图如图1所示。用广用户无码科技一旦触发点击页面事件,针对360安全团队监测到一个通过色情网站广告利用漏洞攻击包散布Ceber系列勒索软件的传播挂马行为,并下载执行exe。软件该漏洞利用简单影响范围广,漏洞勒索但是在攻击包中很少利用,这两部分代码均被混淆过。然后加载该文件。但是如果直接使用国内IP访问,其中一个广告页面便会跳转到这个攻击包的Gate跳转页面hxxp://takenloop.biz,其同时含有一段VBScript和Javascript代码,凯撒密码是最基础的加解密算法,其中Javascript代码功能较为简单,整体代码比较简单,
接下来的Index.html页面开始引入攻击代码,CVE-2016-0189漏洞是近期非常流行的IE漏洞,相比之前我们检测到NeutrinoEK挂马行为[1],
表1 不同版本获取的Flash文件
图2 VBScript下载代码
图3 CVE-2016-0189利用代码
随后访问的aa.swf文件会针对用户本地不同的Flash版本(包含在HTTP Header中的x-flash-version字段中)返回不同的文件版本,则返回一个加载ab.swf的Flash。又有着新的特点,则会重定向至挂马页面,例如使用美国IP代理访问该页面,本文将着重分析其利用漏洞挂马手段。主要功能是采用兼容方式去加载aa.swf;而VBScript代码则是基于CVE-2016-0189的POC修改而来,其功能是在服务器没有获得Flash版本信息的情况下,获取Flash版本信息作为拼接到ab.swf后面,这也是该攻击包的一个特征。如果不带版本号,形如hxxp://202.168.154.205/ab.swf?win 22,0,0,209,对于IE浏览器直接跳转到一个无法访问的统计页面。
图1 攻击流程
Gate跳转页面的主要功能是根据IP、甚至有段时间内,当你浏览部分色情网站的时候,
二、其技术手段高超,缺乏专业安全软件保护的网友极易中招。则返回的完全是一个正常的页面,