Underminer Exploit Kit传播Bootkits和加密货币矿工

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz

新的Underminer漏洞利用工具包提供了一个感染系统引导扇区的bootkit以及一个名为Hidden Mellifera的加密货币挖掘器。

Underminer漏洞的感染流程:

Underminer Exploit Kit传播Bootkits和加密货币矿工

恶意软件研究人员发现了一个新的漏洞利用工具包,被追踪为Underminer漏洞利用工具包,提供了一个感染系统引导扇区的bootkit以及一个名为Hidden Mellifera的加密货币矿工。

“我们发现了一个新的 漏洞利用工具包, 我们命名为Underminer,它利用其他漏洞攻击工具包使用的功能阻止研究人员跟踪其活动或对有效载荷进行逆向工程。” TrendMicro发布的分析报告。

“Underminer提供了一个感染系统引导扇区的bootkit以及一个名为Hidden Mellifera的加密货币挖掘恶意软件。”

研究人员在7月17日首次注意到Underminer Exploit活动,当时它主要向亚洲国家分发有效载荷,主要是在日本(69,75%)和台湾(10,52%)。

Underminer通过加密传输控制协议(TCP)隧道传输恶意有效负载,并使用类似于ROM文件系统格式(romfs)的自定义格式打包恶意文件。据专家介绍,这使得分析恶意代码变得困难。

Underminer漏洞利用工具包似乎是在2017年11月创建的,当时它仅包含利用Flash漏洞和传递无文件有效负载以传递和执行恶意软件的代码。

Underminer EK包括其他漏洞利用工具包也使用的功能,包括:

浏览器分析和过滤;
防止客户重访;
网址随机化;
有效载荷的非对称加密;
EK将访问者重定向到登录页面,该登录页面通过用户代理分析和检测用户的Adobe Flash Player版本和浏览器类型。

如果访问者的个人资料与与感兴趣的目标相关联的个人资料不匹配,则漏洞利用工具包将不会传递恶意内容并将访问者重定向到干净的网站。

Underminer漏洞利用工具包还为浏览器cookie设置了一个令牌,如果受害者已经访问了登录页面,它只会传递HTTP 404错误消息而不是有效负载。

研究人员发现Underminer漏洞利用工具包仍然包含少量攻击。专家们发现了代码以触发以下漏洞:

CVE-2015-5119, 2015年7月修补的 Adobe Flash Player中的免费使用后漏洞 。
CVE-2016-0189,2016年5月修补的Internet Explorer(IE)内存损坏漏洞。
CVE-2018-4878,Adobe Flash Player中的一个免费使用后漏洞,于2018年2月修补。
上述所有缺陷在过去都被其他EK利用。

“就像之前的其他攻击一样,我们希望Underminer能够磨练他们的技术,进一步模糊他们提供恶意内容的方式并利用更多漏洞,同时阻止安全研究人员调查他们的活动。鉴于其运营的性质,我们也期望它们使其有效载荷多样化。

CE安全网

发表评论

您必须登录才能发表评论!