目前网上最流行的Sundown攻击套件分析

2019-01-1513:49:49 发表评论

自从Exploit Kit行业进行调整以后,许多本来具备工具性的漏洞攻击套件要么消失,要么在市场上不流行,比如说Nuclear EKAnglerEK这样的行业龙头,据网友猜测说可能与俄罗斯黑客组织被捕有关。那么目前市场上最流行的黑客攻击是什么呢?
据调查了解,现在黑客利用最多的是Neutrino,RIG和Sundown,它们一般被用于勒索软件传播等黑客攻击。那么什么是Sundown?
Sundown是最近两年才兴起的漏洞利用套件,它的出现填补了Angler和Nuclear的缺失。最早是在2015年,安全研究人员就发现了Sundown,由于那时的Sundown并不怎么出众,但随着Sundown EK的兴起,其开发者也对这个套件进行了升级处理,以满足各种攻击的需求。只是Sundown的开发时间较短,还缺乏其它大型漏洞利用套件的复杂性,而且Sundown的攻击代码还拥有很多简单的,易于被检测的攻击标识符。所以Sundown EK也进行了相关方面的升级。
以下是Sundown的升级改变:
为了提供攻击效率,Sundown曾将控制面板和DGA算法部分外包给一个叫“YBN”的组织,同时还移植了大量其它套件的漏洞利用代码。
所以Sundown包含了Angler中的CVE-2015-2419代码,RIG的Silverlightexploit CVE-2016-0034,Hacking Team的CVE-2015-5119以及Magnitude 的CVE-2016-4117。由于移植过来的套件代码容易被HTTP标头以及组织标识发现,而这些标识又是Sundown URL用户经常浏览的,所以这些套件代码后来又被删除了。
Sundown登陆要进行简单的浏览器环境检查,以不同的环境执行不同的payload,还利用了许多Adobe Flash的漏洞,使得直接访问Sundown登陆页会得到一个html页面,解密里面的数据后会得到YBN组织的标志,只有请求其中特定的HTTP Referer才能攻击成功。
原本可以识别的YBN版本已经没有了,而且用户浏览登录页面时,会得到“HTTP 404”这样的错误提示。
Sundown的攻击套件与RIG攻击套件有一些相似之处,包括所有使用基于base64编码的文本块的三个变量。这些变量涉及检索恶意swf文件。另外Sundown还使用了几种其它类型的混合代码,包括多种不同的字符。下面的例子显示了使用ASCII chr()语法来作为混淆模式,这些都是在查看混淆代码时发现的常见技术。
目前网上最流行的Sundown攻击套件分析
原先的登陆页有很多变化,第一个变化可以在上面这个图中看到。Sundown的研发者现在已经对很多个移植过来的标识符进行了修改,比如,使用's'变量已被替换为随机字符串了。
目前网上最流行的Sundown攻击套件分析
从上图中,我们可以看到使用ASCII chr()的字符已被替换成十六进制的了,最近的Sundown登陆页的相关代码中有很多注释。
目前网上最流行的Sundown攻击套件分析
Sundown已经开始使用Lorem Ipsum的文本。 Lorem Ipsum是一篇常用于排版设计领域的拉丁文文章,主要的目的为测试文章或文字在不同字型、版型下看起来的效果。基本上,Sundown登陆页面充满了随机的文字评论,以进一步试图阻碍分析。
回到Sundown登陆页面的解码版本,我们可以看到与利用页面的URL结构相关的其他几个更改。以前,Sundown使用的是数字子文件夹(即'/ 12346 /')和具有适当扩展名的数字文件名(即'/496.swf')。现在较新版本的Sundown对其进行了更改,下图就显示的是恶意Flash文件的其中一个请求。
目前网上最流行的Sundown攻击套件分析
语法现已更改为仅使用数字字符串作为查询请求“/ 7 /”的子文件夹,一些请求还将包括ID参数,此外,不再包含扩展。目前,我们还没有发现任何Silverlight漏洞,这表明Sundown已经放弃了试图利用Silverlight浏览器插件中的漏洞。日前,许多利用Silverlight的工具已经添加了一个基于公开PoC的Microsoft Edge漏洞。因为在目标网页本身还有另一个PoC存在的漏洞,所以这是Sundown中唯一的浏览器漏洞利用。
Sundown目前似乎仍然正在利用CVE-2016189,这是Internet Explorer和Windows的JScript和VBScript脚本引擎中的远程执行代码漏洞。在我们对漏洞套件登陆页的分析中,发现了另一个编码的漏洞利用页面。
目前网上最流行的Sundown攻击套件分析
如上图所示,我们发现,日前Sundown的开发者还在继续复制以前使用过的漏洞PoC,其中就包含CVE-2010189,不过,与PoC最大的不同是包含两个函数:overwrite2()和fire()。 fire()是从exploit()函数调用的主要函数,代替了PoC中原来的“notepad.exe”的执行,而与此同时,fire()包含了开始执行有效载荷下载并通过cmd.exe执行的代码。
目前网上最流行的Sundown攻击套件分析
是黑客借助Sundown来破坏系统,大多数漏洞利用套件都是在系统上漏洞攻击。一般我们会看到针对IE脚本的漏洞以及几个恶意的Flash文件,这种方法虽然非常混杂,同时也让Sundown成为黑客们的最佳选择。

CE安全网
CE安全网广告位招租

发表评论

您必须登录才能发表评论!