这是最有趣的利用工具《we track》也有点难以捉摸,因此没有像《RIG》和《Fallout》那样受到同样的审查。在我们的2018年秋季总结,当时正在使用cve - 2018 - 8174(Internet Explorer)和cve - 2018 - 4878(Flash Player到28.0.0.137版本)。

在12月中旬,我们注意到Underminer的一些变化,这促使我们对它进行了更深入的研究。这发生在新的零日和概念验证可用的同一时间框架内,这通常是开发工具包作者集成的合适时机。

以前的版本和工件

CVE-2018-4878漏洞在网络流量中比较容易被发现,因为它留下了一些工件。事实上,我们在实验室中使用这些,并将它们与其他ioc联系起来。

Underminer EK 11月份的流量视图,显示CVE-20184878工件

如我们之前所述博客, Underminer在提供IE漏洞时使用客户端-服务器密钥交换,加密代码,但也防止分析人员从保存的网络捕获中重放代码。然而,到目前为止,它的主权财富基金利用是在没有采取此类保护措施的情况下部署的,因此可以自行重新分析。

新的隐蔽Flash漏洞

截至12月中旬,这一漏洞似乎发生了变化。首先,我们没有像以前那样看到Flash工件,这促使我们用Flash的最新版本(31.0.0.153)来测试这个漏洞。

流量视图的最新Underminer EK使用不同的Flash利用实现

其次,我们看到了一个新的代码片段在SWF利用登陆页面引用getSalt ()函数。这激起了我们的好奇心,当我们比较不同的流量捕获时,我们注意到该函数总是返回不同的值。

看看SWF利用本身,我们看到了与启动页面的JavaScript (externalinterface .)并获取该值,以便将其传递给另一个解码漏洞的函数。当我们试图“人为地”重放恶意SWF时,它不会正常地启动。

必威平台APPMalwarebytes Anti-Exploit触发与Flash Player 31.0.0.153

因为我们使用的Flash版本是31.0.0.153(最新的Flash Player在我们的测试中没有受到影响),我们相信Underminer最近实现了这个版本cve - 2018 - 15982

最终有效载荷的包装和执行方式仍然是独特的Underminer。这就是我们所说的隐藏的蜜蜂.Hidden Bee是一个定制的有效负载,它具有特定的模块,并且缺乏典型PE格式的结构。由于这个原因,与使用简单的shell代码相比,它更难以分析,并为攻击者提供了更大的灵活性。

必威平台APPMalwarebytes用户已经受到了这个漏洞工具包的保护,因为我们阻止了Internet Explorer和Flash Player的漏洞。

妥协指标(IOCs)

暗中破坏者IP:

187年98.126.222(。)

Flash开发

d75710ebc8516e73e3a8dd7d1ad1ebc3221b7a141659c7e84b9f5f97dd7ec09e

自定义负载

5574年f4b0b507130db06072930016ed5d2ef79aaa1262faddfdb88891c1599672