设为首页收藏本站我的广告

运维网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
总共321条微博

每日一博

查看: 374|回复: 0

【站长推荐】Hacking Team漏洞大范围挂马,上百万电脑中招(1)【顶】

[复制链接]
  • TA的每日心情
    奋斗
    2015-7-9 13:05
  • 签到天数: 10 天

    [LV.3]偶尔看看II

    tjz2000 发表于 2015-10-31 14:16:36 | 显示全部楼层 |阅读模式
    【站长推荐】<p>一、概况
    近日,腾讯反病毒实验室拦截到一个恶意推广木马大范围传播,总传播量上百万,经分析和排查发现该木马具有以下特征:
    1)该木马是通过网页挂马的方式传播的,经分析黑客用来挂马的漏洞是前段时间Hacking Team事件爆出的flash漏洞CVE-2015-5122。新版本的Flash Player已经修复了该漏洞,但是国内仍有大量的电脑未进行更新,给该木马的传播创造了条件。
    2)经分析和追踪,发现挂马的主体是一个广告flash,大量存在于博彩类网站、色情类网站、外{过}{滤}挂私-Fu类网站、中小型下载站等,以及部分流氓软件的弹窗中,影响广泛。
    3)挂马的漏洞影响Windows、MacOSX和Linux平台上的IE、Chrome浏览器等主流浏览器。经测试,在未打补丁电脑上均可触发挂马行为,国内主流浏览器均未能对其进行有效拦截和提醒。
    4)木马更新变种速度快,平均2-3小时更换一个新变种,以此逃避安全软件的检测,同时可降低单个文件的广度,逃过安全软件的广度监控。
    5)该木马主要功能是静默安装多款流氓软件,部分被安装的流氓软件具有向安卓手机静默安装应用的功能,危害严重。同时该木马还玩起“黑吃黑”——能够清除已在本机安装的常见的其它流氓软件,达到独占电脑的目的。

    http://image.3001.net/images/20151018/14451427188187.png!small

    http://image.3001.net/images/20151018/14451427188187.png!small
      
    图1. Flash 漏洞挂马示意图

    二、挂马网站分析
    经分析和追踪,发现挂马的主体是一个广告flash,当访问到挂马网站时,该flash文件会被自动下载并播放,从而触发漏洞导致感染木马。如图2所示。

    http://image.3001.net/images/20151018/14451426812443.png!small

    http://image.3001.net/images/20151018/14451426812443.png!small
      
    图2. 被挂马的网站之一

    图3所示为带木马的Flash文件,有趣的是如果当前电脑flash已经打补丁,则显示正常的广告,如果flash未打相应补丁则会触发漏洞,在浏览器进程内执行ShellCode。

    /uploadImages/20151019004309133.jpg!small

    /uploadImages/20151019004309133.jpg!small
      
    图3. 挂马的flash文件

    通过反编译flash文件可以发现,该flash是在Hacking Team泄漏代码的基础上修改而来的,该flash使用doswf做了加密和混淆,以增加安全人员分析难度。如图4所示为挂马flash代码。

    /uploadImages/20151019004311329.jpg!small

    /uploadImages/20151019004311329.jpg!small
      
    图4. 挂马的flash文件反编译代码

    漏洞触发后,直接在浏览器进程中执行ShellCode代码,该ShellCode的功能是下载hxxp://222.186.10.210:8861/calc.exe到本地,存放到浏览器当前目录下,文件名为explorer.exe并执行。

    http://image.3001.net/images/20151018/14451425949588.png!small

    http://image.3001.net/images/20151018/14451425949588.png!small
      
    图5. ShellCode经混淆加密,其主要功能是下载执行

    Explorer.exe为了逃避杀软的查杀,其更新速度非常块,平均2-3小时更新变种一次,其变种除了修改代码以逃避特征外,其图标也经常变动,以下是收集到的explorer.exe文件的部分图标,可以发现主要是使用一些知名软件的图标进行伪装。

    http://image.3001.net/images/20151018/14451425608255.png!small

    http://image.3001.net/images/20151018/14451425608255.png!small
      
    图6. 木马使用的伪装图标列表

    该木马传播量巨大,为了防止样本广度过高被安全厂商发现,变种速度飞快,该木马10月中旬开始传播,截至目前总传播量上万的变种MD5统计如下:

    http://image.3001.net/images/20151018/14451425232751.png!small

    http://image.3001.net/images/20151018/14451425232751.png!small
      <p style="text-align: center">图7. 截至目前总传播量上万的变种MD5列表 1 2 下一页>>查看全文 内容导航
    运维网 感谢您的阅读
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    QQ|申请友链|sitemap|手机版|小黑屋|Archiver|运维网 ( 京ICP备16008201号  

    GMT+8, 2016-12-11 18:01 , Processed in 0.045788 second(s), 36 queries , Xcache On.

    Powered by Discuz! X3.2 Licensed

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表