近日,Cisco Talos团队安全研究人员发现一个新的漏洞利用套件攻击活动——Spelevo。该漏洞利用攻击活动使用被黑的B2B网站来传播Spelevo。
在入侵了特定站点后,攻击者会在web页中添加4行代码,这4行代码可以入侵所有的访问者。虽然Angler多年以前使用过Adobe Flash Player的0 day漏洞,但漏洞利用套件主要是依赖于现有的、已修复的漏洞利用。但是如果系统中没有安装补丁就会导致被黑。
漏洞利用套件背景
漏洞利用套件的目标就是用网络上公开的漏洞来传播恶意payload达到入侵随机受害者的目的。一般通过TDS、网关、加载页和利用页等组件来完成。
近期Talos发现的漏洞利用套件活动都是通过恶意广告活动或使用恶意广告的。这些广告一般都位于不同的web页和平台,但都与流服务和成人内容有关。但这并不是将用户定向到漏洞利用套件的唯一方式。Spelevo使用了另一种主流的方法——被黑的网站来感染受害者。
漏洞利用套件有一个很大的限制就是IE。为了让漏洞利用套件有效地运行,攻击者需要利用期望的web浏览器,这种期望的web浏览器应当缺失应对特定类型攻击的主流保护特征。但是仍然有许多用户使用IE浏览器而不是Edge、Firefox 或Google Chrome。
SPELEVO详情
Cisco Talos分析发现该攻击活动好像来源于一个B2B的商业网站。该站点最开始只有一个页面被黑,随着分析的深入,研究人员发现有很多的页面被黑了,其中就包括主页,被黑的主页会将用户重定向到攻击活动的网关。研究人员最后才发现,攻击者只是在一个页面中加了几行代码,但是就感染了更多的页面。
这些代码建立和开始感染的过程其实是2个连接。需要说明的是该漏洞利用套件在入侵系统时会打开一个新的tab页。在该攻击活动中,真实的网关位于ezylifebags[.]com[.]au。
从中可以看出,这并不是在被入侵的网站中释放的唯一脚本。还有一个位于your-prizes-box[.]life的JS文件的请求。但该请求只会通过301重定向来请求同样的文件,并可以被用作额外的追踪器来确保受害者通过合适的信道到达网关。
然后漏洞利用套件才参与进来。首先是到加载页的一个请求。根据加载页很难判断处于侦察阶段。如下所示,在文档的顶部是一个base64编码的blob,也会被分配一个变量。
然后研究人员开始分析页面上的代码。研究人员分析发现,攻击者首先使用rot13编码,如下所示:
研究人员用rot13解码,然后解码得到base64编码的结果,研究人员发现代码需要来探测系统以确定漏洞。
代码会探测操作系统、web浏览器、和插件信息。如下面的try所示,之后是一个决策树。如果发现有漏洞的flash版本,第一个路径会导致CVE-2018-15982,该漏洞也是包括Speclevo在内的多个漏洞利用套件在用的。如果没有发现,就按照第二个路径,传播另一个漏洞利用。
研究人员追踪该感染路径发现并不是一个flash路径,而是服务于另一个漏洞利用。研究人员分析该漏洞利用发现是IE浏览器的VBScript引擎的UAF漏洞——CVE-2018-8174。该漏洞利用被攻击者广泛使用,并且存在于多个漏洞利用套件之中。
系统被入侵和传播payload后,Spelevo的行为和其他漏洞利用套件有所不同。它会重定向到谷歌,用户会看到一个新打开的tab页,然后是漏洞利用的加载页,最后会重定向到谷歌。
这不会让用户意识到自己被黑了,而一位是打开了一个普通的web页。
PAYLOAD
漏洞利用套件传播的payload是各不相同。在该例中,研究人员发现第一个payload是银行木马,在攻击活动中传播了IcedID和Dridex。Payload的类型在漏洞利用套件中也都很常见。
熟悉的技术
Spelevo是一款相对比较新的漏洞利用套件。从发现起,它就经历了一些小的变化,包括URL结构的修改、加载页和利用页的混淆变化等。其中也使用了很多其他漏洞利用套件中常用的技术。
与Rig漏洞利用套件不同的是,Spelevo保存的位置使用的是域名而不是硬编码的IP地址。另外,还使用了域名shadowing技术,利用被黑的注册商账号来保存恶意活动。
结论
漏洞利用套件仍然是威胁图谱中的一部分。使用已经公开的漏洞来在互联网上感染随机的受害者来传播恶意payload。寻找使用IE浏览器和未修复的漏洞的用户和系统变得越来越难。因此,攻击者开始寻找其他的方式来在系统上安装恶意软件。常见的威胁包括技术支持垃圾邮件和伪造的Flash player。不同点在于攻击需要用户交互才可以从攻击中获利。
研究人员建议不要在机器和系统中使用IE作为默认web浏览器,尤其是一些电脑小白。而且在互联网中,已经不需要安装Adobe Flash这样的插件。通过这样的举措可以保护一部分用户。