在过去的几个月里,我们一直在跟踪恐怖分子的开发工具,并观察到它在重定向机制和基础设施方面的显著变化,这使得在野外捕获它成为一项更具挑战性的任务。
与RIG利用工具不同的是,RIG使用可预测的URI模式和分发渠道,Terror EK通过使用没有任何静态上层引用(至少据我们所知)的恶意广告链,在某些情况下结合多步骤过滤,以及在整个发送序列中使用HTTPS,不断试图逃避检测。
流量重定向
我们通过螺旋桨广告媒体广告网络注意到持续的广告事件,然后是广告客户的广告活动,我们能够通过URI模式和其他识别创造性的选择来识别。最终,广告被重定向到攻击工具的第一个签到页面,这既是一个诱饵,也是一个发射台。
随着时间的推移,恐怖组织背后的威胁行动者一直试图隐藏对开发工具包的呼叫。在一个例子中,他们创造了过长的url和使用混淆来掩盖他们的伪装。有趣的是,在其他序列中,我们看到了另一种使用惟一子域的过滤类型。用户首先会被带到一个当前主题是廉价航班和酒店的页面,其中包含一个旅游网站的附属链接expedia.com:
但这里的重点是额外的不可见的iframe,创建一个独特的15位子域,并在每次新访问时刷新:
php / hxit .php / hxit .php / hxit .php / hxit .php…
这个iframe创建了对exploit kit登录页面的最后调用。我们认为这种设置可能是为了防止试图跳过正常重定向流的重放,尽管它只使用了很短的一段时间。
HTTPS等等
2017年8月底,我们看到了恐怖EK尝试HTTPS通过使用免费的SSL证书,尽管它一直在HTTP和HTTPS之间来回切换。有时,似乎也有问题的域名有错误的证书:
然而,最近几天我们观察到SSL的持续使用,不仅用于开发工具本身,而且还用于上层重定向阶段。
注意"serve.mfaif.popads.net'字符串在利用工具的URL与这里的PopAds广告网络无关。它只是Terror EK作者给出的目录名称。
如果不使用MITM代理,网络管理员将看到SSL握手与相应的服务器的IP地址,但不是完整的uri或内容被发送:
恐怖EK是今年少数几个使用SSL加密的开发工具之一,另一个有详细记录的是Astrum EK,用于大型广告攻击通过AdGholas集团。另外,不像RIG EK,它似乎已经永久切换到IP字面uri之后操作ShadowFall恐怖是充分利用新域名/滥用顶级域名.
同往常一样,恐怖EK正在下降烟装载机,然后下载更多的有效负载,可能会在网络上产生很多噪音:
结论
尽管集成了更强大的漏洞并没有显著的进步,但开发工具包的作者仍然利用广告作为他们的主要分发方法,并试图逃避他们密切监视的安全社区的检测。
鉴于这些新的挑战,安全防护者还必须了解威胁参与者使用的恶意技术,以便调整他们的工具和程序,并持续跟踪正在发生的新活动。
妥协的指标
恐怖袭击相关IP地址和域名:
188.226.179.53 188.226.180.230 188.226.180.241 yakset。会计dimplethan。流edgeelse.science
SSL证书:
CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US [Serial Numbers] 03C5BC64ED4CB1331212750F0ECBF7D2EB4E 0337D982AFCC25063A91502A482AAB39A559 [Thumbprints] 73FDC41268FC8B53D37D66BF63FDF71FDF111803 60ADD6955D23029A571BE7F0079C941631CAD32F
有效载荷:
烟装载机
7 bdf05e4c3bda569d1c79b6de9e1c4d44733fbceec1f066dcbd713daa196b519
其他滴:
99 e68d317bb907b6362d956a80f3973c823021d452a077fd90719cdf 3579870858 d6c4830605ed61e444c002193da4efe3bc7d015ad230624a2c9aae81982740 a8a8b5ed76019c17add5101b157ab9c288a709a323d8c12dbae934c7ec6e1d14
评论