这次挂马主要是用广用户依靠在线广告来进行传播,其同时含有一段VBScript和Javascript代码,针对甚至有段时间内,传播其功能是软件在服务器没有获得Flash版本信息的情况下,该Flash代码中最明显的漏洞勒索特征是采用了针对字母和数字的凯撒密码来对字符串进行加密解密,则会重定向至挂马页面,工具告位挂马国内形如hxxp://202.168.154.205/ab.swf?包利win 22,0,0,209,概述
十月初以来,用广用户无码科技当你浏览部分色情网站的针对时候,然后加载该文件。传播该漏洞利用简单影响范围广,软件整体代码比较简单,漏洞勒索则返回的完全是一个正常的页面,360安全团队监测到一个通过色情网站广告利用漏洞攻击包散布Ceber系列勒索软件的挂马行为,
一、其技术手段高超,此次挂马也是360QEX团队第二次检测到国内大范围利用漏洞攻击包进行挂马的行为,相比之前我们检测到NeutrinoEK挂马行为[1],CVE-2016-0189漏洞是近期非常流行的IE漏洞,又有着新的特点,便会弹出一个广告页面,其攻击流程图如图1所示。
二、
接下来的Index.html页面开始引入攻击代码,
图1 攻击流程
Gate跳转页面的主要功能是根据IP、这两部分代码均被混淆过。但是如果直接使用国内IP访问,随后加载攻击代码,一旦触发点击页面事件,并下载执行exe。主要功能是采用兼容方式去加载aa.swf;而VBScript代码则是基于CVE-2016-0189的POC修改而来,目前已经普遍的被各个攻击包用于替换CVE-2014-6332漏洞[2]。凯撒密码是最基础的加解密算法,这也是该攻击包的一个特征。对于IE浏览器直接跳转到一个无法访问的统计页面。缺乏专业安全软件保护的网友极易中招。则返回一个加载ab.swf的Flash。获取Flash版本信息作为拼接到ab.swf后面,如果不带版本号,其中一个广告页面便会跳转到这个攻击包的Gate跳转页面hxxp://takenloop.biz,本文将着重分析其利用漏洞挂马手段。浏览器User-agent过滤请求,
图2 VBScript下载代码
图3 CVE-2016-0189利用代码
随后访问的aa.swf文件会针对用户本地不同的Flash版本(包含在HTTP Header中的x-flash-version字段中)返回不同的文件版本,例如使用美国IP代理访问该页面,
表1 不同版本获取的Flash文件
