漏洞工具包利用廣告位掛馬針對(duì)國(guó)內(nèi)用戶傳播Cerber4.0勒索軟件

 　　概述

　　十月初以來(lái)，360安全團(tuán)隊(duì)監(jiān)測(cè)到一個(gè)通過(guò)網(wǎng)站廣告利用漏洞攻擊包散布Ceber系列勒索軟件的掛馬行為，其技術(shù)手段高超，漏洞觸發(fā)率高，缺乏專(zhuān)業(yè)安全軟件保護(hù)的網(wǎng)友極易中招。此次掛馬也是360QEX團(tuán)隊(duì)第二次檢測(cè)到國(guó)內(nèi)大范圍利用漏洞攻擊包進(jìn)行掛馬的行為，相比之前我們檢測(cè)到NeutrinoEK掛馬行為[1]，又有著新的特點(diǎn)，本文將著重分析其利用漏洞掛馬手段。

　　二、掛馬分析

　　這次掛馬主要是依靠在線廣告來(lái)進(jìn)行傳播，當(dāng)你瀏覽部分網(wǎng)站的時(shí)候，一旦觸發(fā)點(diǎn)擊頁(yè)面事件，便會(huì)彈出一個(gè)廣告頁(yè)面，其中一個(gè)廣告頁(yè)面便會(huì)跳轉(zhuǎn)到這個(gè)攻擊包的Gate跳轉(zhuǎn)頁(yè)面hxxp://takenloop.biz，隨后加載攻擊代碼，其攻擊流程圖如圖1所示。

　　圖1 攻擊流程

　　Gate跳轉(zhuǎn)頁(yè)面的主要功能是根據(jù)IP、瀏覽器User-agent過(guò)濾請(qǐng)求，例如使用美國(guó)IP代理訪問(wèn)該頁(yè)面，則返回的完全是一個(gè)正常的頁(yè)面，但是如果直接使用國(guó)內(nèi)IP訪問(wèn)，則會(huì)重定向至掛馬頁(yè)面，甚至有段時(shí)間內(nèi)，對(duì)于IE瀏覽器直接跳轉(zhuǎn)到一個(gè)無(wú)法訪問(wèn)的統(tǒng)計(jì)頁(yè)面。

　　接下來(lái)的Index.html頁(yè)面開(kāi)始引入攻擊代碼，其同時(shí)含有一段VBScript和Javascript代碼，這兩部分代碼均被混淆過(guò)。其中Javascript代碼功能較為簡(jiǎn)單，主要功能是采用兼容方式去加載aa.swf;而VBScript代碼則是基于CVE-2016-0189的POC修改而來(lái)，并下載執(zhí)行exe。CVE-2016-0189漏洞是近期非常流行的IE漏洞，該漏洞利用簡(jiǎn)單影響范圍廣，目前已經(jīng)普遍的被各個(gè)攻擊包用于替換CVE-2014-6332漏洞[2]。

　　圖2 VBScript下載代碼

　　圖3 CVE-2016-0189利用代碼

　　隨后訪問(wèn)的aa.swf文件會(huì)針對(duì)用戶本地不同的Flash版本(包含在HTTP Header中的x-flash-version字段中)返回不同的文件版本，如果不帶版本號(hào)，則返回一個(gè)加載ab.swf的Flash。

　　表1 不同版本獲取的Flash文件

　　首先看下樣本f84b34835f957a7c5677712804c02bb3的代碼，整體代碼比較簡(jiǎn)單，其功能是在服務(wù)器沒(méi)有獲得Flash版本信息的情況下，獲取Flash版本信息作為拼接到ab.swf后面，形如hxxp://202.168.154.205/ab.swf?win 22,0,0,209，然后加載該文件。該Flash代碼中最明顯的特征是采用了針對(duì)字母和數(shù)字的凱撒密碼來(lái)對(duì)字符串進(jìn)行加密解密，凱撒密碼是最基礎(chǔ)的加解密算法，但是在攻擊包中很少利用，這也是該攻擊包的一個(gè)特征。

　　圖4 加載Flash代碼

　　余下的各個(gè)漏洞Flash，采用了DComSoft SWF Protector和secureSWF的加密，加大了分析難度，DComSoft SWF Protector會(huì)把原始的Flash文件加密分散到多個(gè)BinaryData中;而secureSWF則會(huì)提取所有的字符串常量加密保存在BinaryData中并混淆代碼流程，導(dǎo)致難以直接反編譯分析。通過(guò)對(duì)這些Flash文件的解碼，可以確認(rèn)表1中所示的各個(gè)漏洞。這些掛馬漏洞，與我們之前分析的NeutrinoEK所使用的漏洞一致，請(qǐng)具體參考[1]。

　　對(duì)于ab.swf文件，如果是通過(guò)hxxp://202.168.154.205/ab.swf?win 22,0,0,209訪問(wèn)實(shí)際返回的是404錯(cuò)誤，懷疑可能其后臺(tái)處理代碼邏輯存在問(wèn)題(理想情況下應(yīng)該返回類(lèi)似aa.swf的不同F(xiàn)lash攻擊代碼)，但是如果不帶參數(shù)的直接訪問(wèn)網(wǎng)址hxxp://202.168.154.205/ab.swf，則返回的是文件e64501e845c57e87d69e17921068621b，與某個(gè)版本的aa.swf文件一致。

　　圖5 漏洞觸發(fā)執(zhí)行流程

　　漏洞觸發(fā)后，會(huì)調(diào)用powershell和VBScript腳本下載執(zhí)行勒索軟件。加密的后綴是隨機(jī)的字符，隨后用戶桌面背景會(huì)換成相關(guān)提示，并彈出一個(gè)對(duì)話框，可見(jiàn)這個(gè)勒索軟件是cerber4 [3]。這個(gè)對(duì)話框會(huì)自動(dòng)根據(jù)當(dāng)前系統(tǒng)語(yǔ)言，返回對(duì)應(yīng)的版本翻譯內(nèi)容，而且其中文提示還非常本地化，很溫馨的說(shuō)如果不會(huì)安裝使用Tor瀏覽器，請(qǐng)?jiān)L問(wèn)百度搜索”怎么安裝Tor瀏覽器“，訪問(wèn)提示的網(wǎng)頁(yè)，會(huì)提示支付1比特幣，更詳細(xì)的cerber4的分析請(qǐng)參考[5]。

　　圖6 勒索提示

　　三、攻擊包特點(diǎn)分析

　　這次掛馬攻擊利用廣告系統(tǒng)進(jìn)行傳播，用戶的觸發(fā)量非�？捎^，同時(shí)因?yàn)閺V告投放的不確定性，也給我們追蹤掛馬來(lái)源帶來(lái)了非常大的難度，導(dǎo)致我們一度難以定位。

　　與之前我們對(duì)NeutrinoEK分析對(duì)比可見(jiàn)，目前該攻擊包采用了目前流行的漏洞組合，漏洞利用水平非常高，但是這個(gè)攻擊包與NeutrinoEK相比又有不同特點(diǎn)，其自我保護(hù)措施較差，雖然使用了Gate技術(shù)來(lái)過(guò)濾部分請(qǐng)求，但是沒(méi)有采用常見(jiàn)的ShadowDomain[4]技術(shù)去不停變換掛馬網(wǎng)址，而使用了固定的ip網(wǎng)址;Flash文件也是不需要參數(shù)傳遞就可以運(yùn)行，非常容易進(jìn)行重放分析;也沒(méi)有常見(jiàn)的利用IE信息泄露漏洞對(duì)系統(tǒng)環(huán)境進(jìn)行檢測(cè)的代碼，因此整體給人一種技術(shù)水平錯(cuò)位的感覺(jué)。

　　另外一個(gè)特點(diǎn)是當(dāng)以美國(guó)的代理IP訪問(wèn)時(shí)，會(huì)直接獲得404，從提交到VT的記錄是由服務(wù)器直接返回404錯(cuò)誤，可見(jiàn)該攻擊包針對(duì)不同地區(qū)的IP有做區(qū)別處理，反倒是大陸、臺(tái)灣、韓國(guó)的IP可以正常訪問(wèn)，因此我們懷疑這次是對(duì)國(guó)內(nèi)的定向掛馬。

　　圖8 VT提交記錄

　　整體而言，雖然所使用的漏洞是常見(jiàn)的并且符合當(dāng)前活躍攻擊包的技術(shù)水平，但是其網(wǎng)址特征、頁(yè)面流程和參數(shù)傳遞等技術(shù)特點(diǎn)卻與目前活躍的NeutrinoEK、RigEK、MagnitudeEK不同，比較其Flash漏洞利用代碼與Magnitude有一定的相似度，對(duì)此我們將繼續(xù)關(guān)注。

　　四、總結(jié)

　　勒索軟件獲得的收益非常大，因此往往會(huì)采用最高級(jí)復(fù)雜的攻擊手段來(lái)廣泛傳播和躲避查殺。近期勒索軟件又有活躍的趨勢(shì)，此次掛馬行為雖然很快被我們發(fā)現(xiàn)，但是網(wǎng)上仍然不斷有用戶反饋中招，該掛馬截至目前為止仍然處于活躍狀態(tài)，我們也一直在持續(xù)對(duì)其進(jìn)行監(jiān)測(cè)。

　　為了防止感染勒索軟件，請(qǐng)大家務(wù)必及時(shí)更新Flash并打上最新的系統(tǒng)補(bǔ)丁，不要隨意單擊運(yùn)行郵件中的文件。而很多掛馬是通過(guò)廣告服務(wù)進(jìn)行傳播，所以盡量選擇具備廣告攔截功能的瀏覽器避免打開(kāi)無(wú)用的廣告。

　　圖8 360安全衛(wèi)士攔截漏洞利用效果圖

　　目前360安全衛(wèi)士會(huì)結(jié)合QEX非PE引擎靜態(tài)掃描功能和動(dòng)態(tài)行為檢測(cè)，能夠有效攔截這類(lèi)漏洞攻擊并阻止惡意軟件的運(yùn)行，在最新版360安全衛(wèi)士11.0中還提供了反勒索軟件服務(wù)，如果用戶在開(kāi)通反勒索軟件服務(wù)的情況下仍然中毒造成損失的，360會(huì)負(fù)責(zé)賠付最高3比特幣(約13000元人民幣)的贖金，并協(xié)助還原加密文件。

　　本文由360 QEX引擎團(tuán)隊(duì)撰寫(xiě)，感謝360追日?qǐng)F(tuán)隊(duì)和網(wǎng)絡(luò)安全研究院在本次掛馬來(lái)源定位過(guò)程中的技術(shù)支持。

　　參考文獻(xiàn)

　　[1] NeutrinoEK來(lái)襲：愛(ài)拍網(wǎng)遭敲詐者病毒掛馬 http://bobao.#/news/detail/3302.html

　　[2] CVE-2016-0189 (Internet Explorer) and Exploit Kit

　　http://malware.dontneedcoffee.com/2016/07/cve-2016-0189-internet-explorer-and.html

　　[3] Several Exploit Kits Now Deliver Cerber 4.0

　　http://blog.trendmicro.com/trendlabs-security-intelligence/several-exploit-kits-now-deliver-cerber-4-0/

　　[4] Threat Spotlight: Angler Lurking in the Domain Shadows https://blogs.cisco.com/security/talos/angler-domain-shadowing

　　[5] 【木馬分析】Cerber敲詐者家族再升級(jí)：Cerber4變身隨機(jī)后綴 http://bobao.#/learning/detail/3108.html

　　附錄

　　IOC信息：