[叁六洞]揭秘“副杀”破开绽国际初次野外面使用

发帖时间:2019-03-24 12:35

  • 标签:

  叁六洞(601360)

  迩到来,360互联网装置然中心发皓壹黑产布匹局使用“副杀”破开绽CVE-2018-8174实施网页挂马攻击,试图在讨巧用户计算机中栽入盗号木马,盗取Steam游玩平台帐号、绑定Steam的邮箱帐号稠密码以及QQ帐户中的Q币。此雕刻是“副杀”破开绽被曝光以后到第壹次在国际发皓野外面使用。

  图1 攻击流动程

  “副杀”破开绽是壹个存放在于Vbscript伸擎的长途代码实行破开绽,最早被APT-C-06布匹局运用,2018年4月被360装置然人员发皓并报告到微绵软。5月25日,海外面装置然切磋人员发皓丑名昭著的破开绽使用套件Rig Exploit Kit曾经集儿子成了“副杀”破开绽使用代码,此雕刻是该破开绽被发皓后第壹次出产即兴父亲规模野外面使用。偏偏度过了几天,国际就出产即兴了对“副杀”破开绽的野外面使用。

  借助海报平台终止挂马攻击

  黑客借助海报平台终止挂马攻击的事情屡见不鲜,而迩到来的“副杀”破开绽挂马攻击异样是借助海报平台完成的。借助海报平台终止挂马攻击拥有叁点优势:

  1. 攻击掩饰范畴广。由海报平台下的海报能出产当今任何规模、恣意典型的网站上,用户阅读展即兴挂马海报页面的站点后就会中招;

  2. 复核难度父亲。海报平台每天需寻求接纳和复核微少量的海报情节,而黑客普畅通会对挂马海报页面的代码终止搀杂,此雕刻无疑加以父亲了复核难度;

  3. 却完成己触动攻击。网页挂马攻击能否还愿宗效,关键在于用户能否阅读挂马页面。而借助海报平台终止挂马攻击则在此雕刻方面更具优势:鉴于海报不单存放在于网页中,也存放在于壹些桌面以次弹出产的成事窗口中,此雕刻些己触动干出产的成事窗口却以在无用户提交互的情景下触发破开绽代码。

  从此次挂马攻击的攻击源Url到来看,黑客借助tanx海报平台终止挂马攻击。源页面经度过两次跳转后退开挂马页面hxxp://210.223.140.22:8080,该页面中嵌入了“副杀”破开绽使用代码。

  图2 挂马攻击源Url

  图3 挂马页面中的CVE-2018-8174破开绽使用代码

  从shellcode特点不美不清雅出产,是基于5月25日海外面装置然切磋人员地下的CVE-2018-8174 Metasploit模块(https://github.com/0x09AL/CVE-2018-8174-msf)生成的。条不外面,此雕刻份地下的使用代码依然存放在效实,此雕刻也招致此次挂马攻击并匪完整顿成。若攻击成,将从hxxp://219.65.109.87/css/2.exe下载恶行意以次到以后目次,命名为svchost.exe后实行。

  图4 shellcode情节

  终极目的——盗号+盗Q币

  svchost.exe是个下载者,从hxxp://ozvdkfpg2.bkt.clouddn.com/pug.webp下载盗号木马,并用0x00堵空文件末了条使文件体积收收缩以对立装置然绵软件。文件体积收收缩前后父亲小相差60多倍。

热门排行

博狗bodog88