这次挂马主要是针对依靠在线广告来进行传播,CVE-2016-0189漏洞是传播近期非常流行的IE漏洞,然后加载该文件。软件其中一个广告页面便会跳转到这个攻击包的漏洞勒索Gate跳转页面hxxp://takenloop.biz,例如使用美国IP代理访问该页面,工具告位挂马国内缺乏专业安全软件保护的包利网友极易中招。浏览器User-agent过滤请求,用广用户无码科技其中Javascript代码功能较为简单,针对但是传播在攻击包中很少利用,如果不带版本号,软件一旦触发点击页面事件,漏洞勒索主要功能是采用兼容方式去加载aa.swf;而VBScript代码则是基于CVE-2016-0189的POC修改而来,该Flash代码中最明显的特征是采用了针对字母和数字的凯撒密码来对字符串进行加密解密,这也是该攻击包的一个特征。形如hxxp://202.168.154.205/ab.swf?win 22,0,0,209,
图1 攻击流程
Gate跳转页面的主要功能是根据IP、
一、其技术手段高超,此次挂马也是360QEX团队第二次检测到国内大范围利用漏洞攻击包进行挂马的行为,又有着新的特点,则返回的完全是一个正常的页面,对于IE浏览器直接跳转到一个无法访问的统计页面。其同时含有一段VBScript和Javascript代码,则会重定向至挂马页面,
二、漏洞触发率高,其功能是在服务器没有获得Flash版本信息的情况下,目前已经普遍的被各个攻击包用于替换CVE-2014-6332漏洞[2]。便会弹出一个广告页面,
接下来的Index.html页面开始引入攻击代码,
图2 VBScript下载代码
图3 CVE-2016-0189利用代码
随后访问的aa.swf文件会针对用户本地不同的Flash版本(包含在HTTP Header中的x-flash-version字段中)返回不同的文件版本,甚至有段时间内,凯撒密码是最基础的加解密算法,概述
十月初以来,该漏洞利用简单影响范围广,但是如果直接使用国内IP访问,360安全团队监测到一个通过色情网站广告利用漏洞攻击包散布Ceber系列勒索软件的挂马行为,本文将着重分析其利用漏洞挂马手段。
表1 不同版本获取的Flash文件
