在合法网站(恶意)上显示的恶意广告是我们看到的很多这些日子。
网站所有者已经成长为与广告的爱/讨厌的关系,因为在一方面广告他们是一个大量收入来源,但另一方面他们往往导致很多麻烦。
站点所有者使用多个不同的第三方提供商,这些提供商随着时间的推移信任。但是,第三方内容总是有点IFFY,因为你无法控制它。
案例分明,一个流行的网站最近遭受了恶意的攻击。我们的蜜罐在上周五早上的凌晨凌晨的广告中检测到恶意重定向。
我们联系了网站所有者和广告代理商,并且在不久之后停止了恶意交通。
在周末和本周开始的过程中,我们交换了一些进一步的电子邮件,以更好地了解攻击,这已成为广告服务器妥协(稍后更多详细信息)。
周一,思科发表了一个博客帖子关于他们所说的是更广泛地利用Microsoft Silverlight进行剥削,特别是钓鱼者利用套件。
利用Silverlight在利用套件中的使用及其对其他插件(或不)的偏好不是本文的重点。我们将主要尝试研究特定的攻击并提供一些技术细节。
我们希望这些信息能够帮助所有人的业主,广告商和公众更好地理解恶意威胁以及如何减轻它。
第1阶段:广告服务器重定向
图1:HTTP流量显示恶性攻击。
在此示例中,重定向过程非常简单:合法网站 - >广告服务器 - >恶意网站。
图2:受损的AD Server重定向到恶意URL。
这种恶意攻击的目标是将毫无戒心的用户重定向到利用套件登陆页面,以感染他们的计算机。
第2阶段:通过Angler Exploit套件下载下载
Exploit套件登陆页面严重困扰,以使探测更加困难。
图3:Angler Exploit Kit着陆页(编码变量)
还有几个javascript位,到处都是:
图4:Angler Exploit Kit着陆页(JavaScript)
重建页面以查看哪些代码实际上可能存在痛苦和冗长的过程。但在这种情况下,我决定这样做简单的方式,开始寻找'eval'。
图5:eval语句将密钥保存到页面的源代码。
这求解语句将包含特定变量的值mdc4pa.在整个代码中使用。我所做的只是通过依靠浏览器本身来打印其内容来进行繁重的提升(解码页面):
功能deobfuscate(){
var代码=提示(“deobfuscated代码:”,mdv4pa);
}
deobfuscate();
这是一个非常基本的功能,将在包含我们感兴趣的变量的浏览器窗口中显示提示(它替换求解):
图6:打印混淆审查代码。
现在我们所要做的就是将值复制并粘贴到文本编辑程序中,并清楚地查看代码。
由于代码实际上是相当长的,我们只会专注于某些有趣的部分。与大多数利用套件登陆页面一样,这一点也试图配置受害者的计算机(浏览器名称和版本,Java,Flash,Silverlight版本等):
图7:用于检测非IE浏览器的代码。
在检测后,将加载各种漏洞模块以利用用户的配置。
这个钓鱼者着陆页面值得指出的钓鱼者着陆页中有很有趣和有趣的代码。第一个是检查名为kl1.sys的用户机上的特定文件名:
图8:系统上的卡巴斯基网络驱动程序?没有利用你。
事实证明这个文件是一个卡巴斯基网络驾驶员。如果该文件存在于系统上,则将分配几个变量为false的值,因为我们将稍后看到,使其使得从未触发漏洞码。
代码中还有可能的自愿(或不是?)拼写错误:
图9:错字或不是?
最后,在安全研究员的诙谐普通Kafeine.(参见四月鱼):
图10:不可能的路径。
在这种特殊的恶意案例中,一个Microsoft Silverlight(在PC上使用Netflix?用过)。我们将花一些时间详细分析。
要准备漏洞利用,以下代码会评估运行的Silverlight版本:
图11:在射击漏洞之前检查Silverlight和其他条件。
此外,您可以看到最后一行检查是否是变量真的。这与前面使用的相同变量(其中一个),以检测用户是否正在运行Kaspersky。
然后,另一块代码准备了从漏洞利用服务的位置的URL:
图12:准备Silverlight Exproit URL。
最后,从恶意服务器检索Silverlight PK。请注意上面定义的完整URL及其参数:
图13:获取恶意Silverlight文件的请求。
可以提取PK文件并包含.dll(avbtttscsc.dll)在AppManifest文件中定义:
图14:Silverlight包的内容。
avbtttscsc.dll.是一个典型的二进制文件,部分标题:
图15:Silverlight Exploit的部分标题。
我们不会进一步进入Silveright Exploit。如果您有兴趣了解更多,我建议您通过Kafeine阅读这篇文章:CVE-2013-0074 / 3896(Silverlight)集成了漏洞套件。
第3阶段:有效载荷,宙斯银行木马
在成功开发机器之后,丢弃有效载荷。这一个是我们臭名昭着的臭虫/ ZBOT银行木马bl大约几个月后。
让我们来看看这个:
图16:文件信息由Malwr.com提供。
执行后,示例会与后端命令和控制服务器进行通话:
http:// macnewsonline。pw / yxg4z3vh / gate_ywa2wiq9.php
图17:连接到C2服务器。
它还向另一个域提出了一个域,一个庞大的装载机:http:// {redacted} .eu / gate.php(隐藏在CloudFlare的基础架构后面):
图18:与PONY Loader Server的连接。
图19:PONY管理登录页面。
基于乌克兰的IP(37.57.26.167)还有另一个值得注意的外部连接:
图20:Botnet相关活动的地理位置(图片礼貌的图片)。
其中有僵尸网络相关活动在过去的一边:
图21:僵尸网络活动(细节由毒涛提供)。
网站所有者(出版商和广告商)
您可以拥有世界上最安全的网站,但仍然受到恶意的影响。部分问题是由于涉及广告的外部因素。
如果您依靠第三方广告提供商的大多数公司,您的安全性也与他们自己的供应商同样良好。
仔细选择你做生意的谁走了很长的路,但即便如此,恶意可能会非常偷偷摸摸,然后回来困扰你。
为了给你一个例子,即使你在网上之前仔细检查每次广告,那么坏人都设计了一种方法可以在特定时间激活他们的广告系列,或者基于地理区域。因此,良性广告可以轻松地成为一个恶意的人。
说过,有几条准则来提高安全性仍然非常有价值。你可以阅读更多这里。
最后,也许更重要的是,网站所有者可以真正受益于在线监控服务,以定期检查他们的网站。虽然您的网站上没有100%保证从未被攻击或遭受恶意,但您对问题的反应程度可能会产生很大的差异。
毕竟,你的品牌和声誉是有利的。你可能不会落在黑名单上,但吓跑了你的游戏手柄几乎没有更糟糕的是。
最终用户:多层保护
最好的防御是一个分层的防御,它从浏览器保护开始。要停止Silverlight Exproit,您需要运行最新版本软件。如果你不是吗?
必威平台APP反爆炸β已经阻止了这种类型的利用。即使是一岁的Anti-Exploit(版本0.09.2.1100)已经缓解了Silverlight Exproits(CVE-2013-3896.和CVE-2013-0074):
对于好的措施,这是Malwarebytes Anti-Exploit的最新版本:必威平台APP
图21:Silverlight Exploit(版本5.1.10411.0,在开发尝试后提示更新)。
当然,在后台运行的良好反恶意软件防护也可以通过阻止恶意站点或丢弃的有效载荷来保护您免受威胁。
必威平台APPMalwareBytes反恶意软件可检测到Spyware.zbot.vxgen:
图22:Malware必威平台APPbytes反恶意软件显示Zeus / Zbot Trojan的检测。
兴趣的文件(用于安全研究人员):
评论