就像我们包裹着我们的一样夏季审查漏洞套装,一个新的播放器进入了场景。ek主啊,因为它呼唤自己,被抓住了病毒公告s阿德里安卢卡重播恶意链的同时。
在这个博客文章中,我们对此进行了快速审查开发基于我们到目前为止所收集的内容。必威平台APPMalwarebytes用户是已经受到保护反对这种攻击。
爆炸套件与否?
最近有一种趋势我们称之为伪漏洞套件,其中威胁演员基本上抓住了互联网资源管理器或Flash Player漏洞的概念证明,并制作了一个非常基本的页面来加载它。通过下载攻击来描述这些是更准确的是更准确,而不是利用套件。
使用Exproit套件,我们希望看到某些功能集包含:
- 一个登陆页面,指纹机器以识别客户端漏洞
- 动态URI模式和域名旋转
- 一个或多个利用浏览器或其一个插件
- 记录受害者的IP地址
- 可能随时间变化的有效载荷,这可能是特定于地质的
快速瞥一眼埃克勋爵
首先鸣叫从@adrian__luca.关于埃克勋爵在8月1日上午出来,展示了有趣的元素。它是通过Popcash AD网络的恶意链的一部分,并使用受妥协的站点来重定向到着陆页。
我们可以在清晰的文本中看到一个非常基本的着陆页,作者左上方的评论说:<! - Lord Ek - Landing Page - >。当我们检查它时,它已被滥用但仍然是基本相同的。
有一个函数检查Flash播放器的存在和版本,最终将用于推送CVE-2018-15982。着陆页的第二部分收集包含关于受害者的Flash版本和其他网络属性的信息。
有趣的URI模式
我们立即注意到的一件事就是利用套件的网址是异常的。我们看到威胁演员正在使用诺克通过提交报告,服务自定义主机名(我们通知NGROK此滥用其服务)。
这至少是与近期历史上的利用套件观察的东西相当不寻常。根据NGROK的文档,它将本地服务器公开到公共Internet。NGROK的免费版本生成随机的子原,几乎完美(并提醒我们域阴影)对于利用套件作者。
Flash Exploit和有效载荷
在撰写本文时,ek勋爵仅供Flash Player,而不是Internet Explorer漏洞。nao_sec.快速研究了漏洞利用和指出它是针对性的CVE-2018-15982。
在利用漏洞后,它会启动shellcode以下载并执行其有效载荷:
初始有效载荷是NJRAT,但威胁演员将第二天切换为Eris RansomWare,如斑点@tkanalyst.。
我们还注意到剥削后的另一个变化,漏洞套件将受害者重定向到谷歌主页。这是之前的行为著名的与Spelevo Exploit套件。
在积极发展下
这仍然太早说这个利用套件是否会坚持并为自己制作名称。但是,很明显,它的作者正在积极调整它。
这是在利用套件充满惊喜和研究人员社区中的注意力的时候出现的。尽管对Internet Explorer和Flash Player的漏洞已被修补并且都具有非常小的市场份额,但旧的Microsoft浏览器的使用仍在许多国家继续。
布拉德邓肯从恶意软件交通分析为有兴趣研究这一漏洞套件的人发布了一些交通捕获。
妥协指标
妥协的网站
liader [。] com [。] ua
网络指纹识别
Extreme-ip-lookup [。] com
ek uri勋爵图案
hxxp [://] 7b2cdd48 [。] ngrok [。] io /?jbgmxvvbof9zqgsoav5of3ppfp2d3sk3oqcsu5r4nlsksdr6rc377bw5ucv7gcg
hxxp [://] 7b2cdd48 [。] ngrok [。] io /?bma7lkcmrjcuvuwji3 [。] swf
hxxp [://] kqocwd6rlzckogdygmbuwq3yctxvcfatkarq5ncpscrcvixad2hxftad [。]洋葱[。]宠物/服务器[。] exe
hxxp [://] 57189bbb [。] ngrok [。] io /?srwylmapxwikmstuvhoeduffz2qtoktnf387c5ufpukiqgihlck8igub62l4xxc
hxxp [://] 57189bbb [。] ngrok [。] io /?raadezs60r6zfe7gccplytgi0h [。] swf
hxxp [://] 81 [。] 171 [。] 31 [。] 247:4567 /服务器[。] exe
NJRAT.
26107D42E0D8684F4250628D438FB0869132FAA298648FEEC17B25E5DB9A8C3B
eris ransomware
8C1AAF20E55A5C56498707E11B27D0D8D56DBA71B22B77B9A53C349364744441A
评论