更新(08/04/2014):
它看起来像Silverlight Exproit涉及从单个编码的流创建拆分:
让我们仔细看看Silverlight Exproit:
XML文件:
<部署XMLNS =“http://schemas.microsoft.com/client/2007/deployment”XMLNS:X =“http://schemas.microsoft.com/winfx/2006/xaml”entrentpointAssembly =“NaqMJXBG270”EntrentPointType =“naqmjxbg270.app.“runtimeversion =”3.0.40818.0“>deployment.parts> deployment>
入口点:
反编译代码:
可疑代码以红色圈出。它显示一个大阵列被放置在缓冲器中并加载到存储器。
如果您想对此进行思考或有额外的见解,请联系。
- - - -
几天前,我们开始用嘉年华利用套件注意一个奇怪的新模式。我们在只有一个人交付之前获得了双重有效载荷。
所以我们决定检查我们的档案并究竟在过去几天发生的事情。
在07/26之前:
您可以看到着陆页面和各种漏洞,后跟一个恶意软件丢弃(以红色)为那种父级进程是Java(这对稍后的重要)。
在07/26左右10点(过渡):
请注意Java进程删除了两个有效载荷(以红色)丢弃,但还有一个额外的耦合丢弃(蓝色)似乎没有直接文件大小匹配。
'拆分'
Fiesta EK从单个URL呼叫提供双重有效载荷:
http://wybmku.hopto.org/q4vprom/71ee4a5dbf7401c554410e5e075a06500307565e0003055f0202015651580501;1
这是编码流:
一旦下载,它被提取并生下两个可执行文件:
- 文件1(vt.)由MalwareBytes反恶意软件检测为Spyware.zbo必威平台APPt.ed。
- 文件2(vt.)检测为Trojan.Agent.Edent.eded,由Malw必威平台APParebytes反恶意软件。
如果您加入两个文件大小,大致获取编码流的大小:
这个技巧并不完全是新的。我们记录redkit利用套件在2013年4月回来做了类似的东西。
对数据包捕获和推荐感兴趣的研究人员随时可以联系。
Fiesta ek logo的图象由foxit提供。
评论