Fallout Exploit Kit通過惡意廣告傳播GandCrab勒索軟體
2018 年 8 月底, FireEye 發現了一種新的 Exploit Kit( 漏洞利用工具包 ) 在惡意廣告中被使用,影響日本,韓國,中東,南歐及其他亞太地區國家的使用者。
2018 年 8 月 24 日,在域名 finalcountdown [ 。 ] gq 上第一次觀察到該活動。 8 月 29 日,東京研究員 “nao_sec” 確定了此活動的一個例項,並在博文中將漏洞利用工具包稱為 Fallout Exploit Kit ( https://www.nao-sec.org/2018/09/hello-fallout-exploit-kit.html )。在我們的研究中,發現了與惡意廣告相關的其他域名,地區和 payload 。不同於 nao_sec 在博文中提到 SmokeLoader 銀行木馬在日本分佈,我們觀察到 GandCrab 勒索軟體在中東分佈,在這篇博文中我們將重點關注。
如果使用者配置資訊符合攻擊條件, Fallout Exploit Kit 會提取使用者瀏覽器指紋資訊併發送惡意內容。一旦匹配成功,會將使用者從廣告頁面(通過多個 302 重定向)重定向到 Exploit Kit 登入頁面。從合法域名,緩衝域名,然後到 Exploit Kit 登陸頁面的完整鏈如圖 1 所示。
圖 1- 惡意廣告頁面重定向到 Fallout Exploit Kit 登入頁面
廣告主頁在載入時會先讀取緩衝域名連結,並用 <noscript> 標籤載入單獨的連結以防 JavaScript 被瀏覽器禁用。
圖 2- 廣告首頁內容
在前面沒有提及到,其實 ‘link rel =“dns-prefetch”href“’ 標籤的值是不同的,並且廣告不會指向 Exploit Kit 。 302 跳轉的完整重定向鏈如圖 3,4 和 5 所示
圖 3-302 重定向到控制 Exploit Kit 的緩衝伺服器
圖 4-Exploit Kit 登陸頁面之前的另一個重定向
圖 5- 使用者到達 Exploit Kit 登入頁面之前的最後一個重定向
由於登入頁 URI 不斷變化,這使得依賴於基於特定模式檢測的 IDS 解決方案變得更加難以實施。
根據瀏覽器 / 作業系統配置檔案和使用者的位置,惡意廣告要麼提供 Exploit Kit ,要麼嘗試將使用者連結到其他社會工程學攻擊中。例如,在美國,在一個打好補丁的 macOS 系統上,惡意廣告嘗試將使用者重定向到類似於圖 6 和圖 7 中所示的社會工程學攻擊頁面。
圖 6- 針對 Mac 使用者的虛假反病毒軟體提示
圖 7- 虛假 flash 下載提示
以上策略與 Fireeye 最近監測到的社會工程學攻擊頻發是一致的。攻擊者使用以上策略將打好系統補丁的使用者和因系統配置有缺陷而可利用漏洞嘗試攻擊的主機作為目標。在北美的許多社會工程學攻擊中,惡意重定向被大量濫用。
FireEye 動態威脅情報( DTI )顯示,該活動已觸發政府,電信和醫療保健行業客戶的警報。
登入介面
最初,登入頁面僅包含 VBScript 漏洞( CVE-2018-8174 )的程式碼。但是,後來添加了 Flash 嵌入程式碼,以便更有效的執行 payload 。
在登入頁面的 ’<span>’ 標籤中,用 Base64 對 VBScript 程式碼進行了編碼。登陸頁面載入時載入 JS 函式, JS 函式解碼下一階段 VBScript 程式碼並使用 VBScript ExecuteGlobal 函式執行 VB 程式碼。
圖 8- 登陸頁面程式碼段
圖 9 為 JScript 函式對惡意 VBScript 程式碼進行解碼。
圖 9-Base64 解碼函式
Flash 嵌入程式碼位於 ‘noscript’ 標籤內,在禁用指令碼時載入。
圖 10-Flash 嵌入程式碼
解碼後的 VBScript 程式碼利用 ofollow,noindex" target="_blank"> CVE-2018-8174 漏洞 並執行 shellcode 。
圖 11- 解碼的 VBScript
shellcode 下載異或 payload 到% temp %資料夾,對其解密並執行(圖 12 )。
圖 12- 解密後的 XOR 二進位制資料( 4072690b935cdbfd5c457f26f028a49c )傳輸
Payload分析(4072690b935cdbfd5c457f26f028a49c)
惡意軟體包含用於初始化載入和執行最終 payload 的 PE 程式碼。
圖 13- 從 PE 載入程式匯入解析程式
DLL ( 83439fb10d4f9e18ea7d1ebb4009bdf7 )首先初始化一個指向惡意軟體核心功能的函式指標。
圖 14- 使用函式指標填充的核心結構
然後它列舉所有正在執行的程序,建立它們的 crc32 校驗和,並將它們與列入黑名單的校驗和進行匹配。表 1 為校驗和列表及其相應的程序名稱。
表 1 :列入黑名單的校驗和
如果匹配成功,則惡意軟體進入無限迴圈,轉化為正常程式。
圖 15- 檢測是否存在列入黑名單的 CRC32 校驗和
如果檢查通過,則會啟動一個新執行緒,其中惡意軟體首先獲取 “SeShutdownPrivilege” 並檢查其自己的映象路徑,作業系統版本及體系結構( x86 / x64 )。對於 OS6.3 版本( Windows 8.1 / Windows Server 2012 ),執行以下步驟:
1. 獲取 “SeTakeOwnershipPrivilege” ,並獲得 “C : Windows System32 ctfmon.exe” 的所有權
2. 如果在 WoW64 下執行,則通過 Wow64DisableWow64FsRedirection 禁用 WoW64 重定向,以便能夠替換 64 位二進位制檔案
3. 將 “C : Windows System32 ctfmon.exe” 替換為自身副本
4. 檢查 “ctfmon.exe” 是否已在執行。如果沒有,通過登錄檔項 “ Registry Machine SOFTWARE Microsoft Windows CurrentVersion Run” 將其自身新增到啟動
5. 呼叫 ExitWindowsEx 重啟系統
在其他 OS 版本中,執行以下步驟:
1. 獲取 “SeTakeOwnershipPrivilege” ,並取得 “C : Windows System32 rundll32.exe” 的所有權
2. 如果在 WoW64 下執行,則通過 Wow64DisableWow64FsRedirection 禁用 WoW64 重定向,以便能夠替換 64 位二進位制檔案
3. 將 “C : Windows System32 rundll32.exe” 替換為其自身的副本
4. 通過登錄檔項 “ Registry Machine SOFTWARE Microsoft Windows CurrentVersion Run” 將其自身新增到啟動
5. 呼叫 ExitWindowsEx 重啟系統
在任何一種情況下,如果惡意軟體無法成功替換系統檔案,它將在表 2 中列出的位置複製自身,並通過 ShellExecuteW 執行。
表 2 :備用 Dump 路徑
執行時,惡意軟體會檢查它是作為 ctfmon.exe / rundll32 執行還是作為表 2 中的可執行檔案執行。如果檢查通過,則下載程式開始執行分支。
圖 16- 檢查映象路徑後下載程式程式碼
建立互斥鎖 “Alphabeam ldr” 以防止多次執行。這裡對 payload URL 進行解碼。編碼資料通過 mov 操作複製到 blob 。
圖 17- 複製編碼 URL
使用圖 18 中所示的演算法設定 32 位元組 XOR 金鑰。
圖 18- 生成 XOR 金鑰
最後,使用具有 XMM 暫存器的 PXOR 完成解碼。
圖 19- 解碼異或 payload URL
下載器開關以迴圈方式執行。
圖20-響應/下載 處理程式
表3顯示了詳細的HTTP請求,它們的預期響應(其中body = HTTP響應主體)以及相應的操作。
表 3-HTTP 請求,響應和操作
請求序列執行後,使惡意軟體將提取 GandCrab 勒索 軟體並將其載入到記憶體中。圖 21 和圖 22 分別為 request # 1 和 request # 2 ,下載並執行了 GandCrab 勒索軟體( 8dbaf2fda5d19bab0d7c1866e0664035 )。
圖 21-request # 1 從 payload URL 獲取初始命令
圖 22-request # 2 下載 GandCrab 勒索軟體並載入到記憶體中
結論
近年來,對地下活動的打擊使 Exploit Kit 活動大幅度下降。但是, Exploit Kit 對未打好系統補丁的使用者仍存在嚴重威脅。如今,我們在亞太地區看到了很多有關 Exploit Kit 的活動,受害者經常是軟體存在漏洞的使用者。而在北美,往往是更直接的社會工程學活動。
FireEye Network Security 會檢測本文中提到的所有 EXP ,社會工程學攻擊,惡意軟體以及 C2 通訊。多個 FireEye 產品中使用的 MVX 技術可檢測本文中描述的第一階段和第二階段惡意軟體。
IOC