更新(08/04/2014):

它看起来像Silverlight Exproit涉及从单个编码的流创建拆分:

流程

Silverlight.

让我们仔细看看Silverlight Exproit:

XML文件

<部署XMLNS =“http://schemas.microsoft.com/client/2007/deployment”XMLNS:X =“http://schemas.microsoft.com/winfx/2006/xaml”entrentpointAssembly =“NaqMJXBG270”EntrentPointType =“naqmjxbg270.app.“runtimeversion =”3.0.40818.0“>

入口点

加载

反编译代码

反编译

可疑代码以红色圈出。它显示一个大阵列被放置在缓冲器中并加载到存储器。

如果您想对此进行思考或有额外的见解,请联系。

- - - -

几天前,我们开始用嘉年华利用套件注意一个奇怪的新模式。我们在只有一个人交付之前获得了双重有效载荷。

所以我们决定检查我们的档案并究竟在过去几天发生的事情。

在07/26之前:

Fiesta_Before.

您可以看到着陆页面和各种漏洞,后跟一个恶意软件丢弃(以红色)为那种父级进程是Java(这对稍后的重要)。

在07/26左右10点(过渡):

有效载荷

请注意Java进程删除了两个有效载荷(以红色)丢弃,但还有一个额外的耦合丢弃(蓝色)似乎没有直接文件大小匹配。

'拆分'

Fiesta EK从单个URL呼叫提供双重有效载荷:

http://wybmku.hopto.org/q4vprom/71ee4a5dbf7401c554410e5e075a06500307565e0003055f0202015651580501;1

这是编码流:

Stream2.

一旦下载,它被提取并生下两个可执行文件:

  • 文件1(vt.)由MalwareBytes反恶意软件检测为Spyware.zbo必威平台APPt.ed。
  • 文件2(vt.)检测为Trojan.Agent.Edent.eded,由Malw必威平台APParebytes反恶意软件。

如果您加入两个文件大小,大致获取编码流的大小:

sizematch.

这个技巧并不完全是新的。我们记录redkit利用套件在2013年4月回来做了类似的东西。

对数据包捕获和推荐感兴趣的研究人员随时可以联系。

@jeromesegura.

Fiesta ek logo的图象由foxit提供。