一、概述

　　十月初以來，360安全團(tuán)隊監(jiān)測到一個通過色情網(wǎng)站廣告利用漏洞攻擊包散布Ceber系列勒索軟件的掛馬行為，其技術(shù)手段高超，漏洞觸發(fā)率高，缺乏專業(yè)安全軟件保護(hù)的網(wǎng)友極易中招。此次掛馬也是360QEX團(tuán)隊第二次檢測到國內(nèi)大范圍利用漏洞攻擊包進(jìn)行掛馬的行為，相比之前我們檢測到NeutrinoEK掛馬行為[1]，又有著新的特點(diǎn)，本文將著重分析其利用漏洞掛馬手段。

　　二、掛馬分析

　　這次掛馬主要是依靠在線廣告來進(jìn)行傳播，當(dāng)你瀏覽部分色情網(wǎng)站的時候，一旦觸發(fā)點(diǎn)擊頁面事件，便會彈出一個廣告頁面，其中一個廣告頁面便會跳轉(zhuǎn)到這個攻擊包的Gate跳轉(zhuǎn)頁面hxxp://takenloop.biz，隨后加載攻擊代碼，其攻擊流程圖如圖1所示。

　　Gate跳轉(zhuǎn)頁面的主要功能是根據(jù)IP、瀏覽器User-agent過濾請求，例如使用美國IP代理訪問該頁面，則返回的完全是一個正常的頁面，但是如果直接使用國內(nèi)IP訪問，則會重定向至掛馬頁面，甚至有段時間內(nèi)，對于IE瀏覽器直接跳轉(zhuǎn)到一個無法訪問的統(tǒng)計頁面。

　　接下來的Index.html頁面開始引入攻擊代碼，其同時含有一段VBScript和Javascript代碼，這兩部分代碼均被混淆過。其中Javascript代碼功能較為簡單，主要功能是采用兼容方式去加載aa.swf;而VBScript代碼則是基于CVE-2016-0189的POC修改而來，并下載執(zhí)行exe。CVE-2016-0189漏洞是近期非常流行的IE漏洞，該漏洞利用簡單影響范圍廣，目前已經(jīng)普遍的被各個攻擊包用于替換CVE-2014-6332漏洞[2]。

　　隨后訪問的aa.swf文件會針對用戶本地不同的Flash版本(包含在HTTP Header中的x-flash-version字段中)返回不同的文件版本，如果不帶版本號，則返回一個加載ab.swf的Flash。

　　表1 不同版本獲取的Flash文件

　　余下的各個漏洞Flash，采用了DComSoft SWF Protector和secureSWF的加密，加大了分析難度，DComSoft SWF Protector會把原始的Flash文件加密分散到多個BinaryData中;而secureSWF則會提取所有的字符串常量加密保存在BinaryData中并混淆代碼流程，導(dǎo)致難以直接反編譯分析。通過對這些Flash文件的解碼，可以確認(rèn)表1中所示的各個漏洞。這些掛馬漏洞，與我們之前分析的NeutrinoEK所使用的漏洞一致，請具體參考[1]。

　　對于ab.swf文件，如果是通過hxxp://202.168.154.205/ab.swf?win 22,0,0,209訪問實際返回的是404錯誤，懷疑可能其后臺處理代碼邏輯存在問題(理想情況下應(yīng)該返回類似aa.swf的不同F(xiàn)lash攻擊代碼)，但是如果不帶參數(shù)的直接訪問網(wǎng)址hxxp://202.168.154.205/ab.swf，則返回的是文件e64501e845c57e87d69e17921068621b，與某個版本的aa.swf文件一致。

　　漏洞觸發(fā)后，會調(diào)用powershell和VBScript腳本下載執(zhí)行勒索軟件。加密的后綴是隨機(jī)的字符，隨后用戶桌面背景會換成相關(guān)提示，并彈出一個對話框，可見這個勒索軟件是cerber4 [3]。這個對話框會自動根據(jù)當(dāng)前系統(tǒng)語言，返回對應(yīng)的版本翻譯內(nèi)容，而且其中文提示還非常本地化，很溫馨的說如果不會安裝使用Tor瀏覽器，請訪問百度搜索”怎么安裝Tor瀏覽器“，訪問提示的網(wǎng)頁，會提示支付1比特幣，更詳細(xì)的cerber4的分析請參考[5]。

　　三、攻擊包特點(diǎn)分析

　　這次掛馬攻擊利用廣告系統(tǒng)進(jìn)行傳播，用戶的觸發(fā)量非常可觀，同時因為廣告投放的不確定性，也給我們追蹤掛馬來源帶來了非常大的難度，導(dǎo)致我們一度難以定位。

　　與之前我們對NeutrinoEK分析對比可見，目前該攻擊包采用了目前流行的漏洞組合，漏洞利用水平非常高，但是這個攻擊包與NeutrinoEK相比又有不同特點(diǎn)，其自我保護(hù)措施較差，雖然使用了Gate技術(shù)來過濾部分請求，但是沒有采用常見的ShadowDomain[4]技術(shù)去不停變換掛馬網(wǎng)址，而使用了固定的ip網(wǎng)址;Flash文件也是不需要參數(shù)傳遞就可以運(yùn)行，非常容易進(jìn)行重放分析;也沒有常見的利用IE信息泄露漏洞對系統(tǒng)環(huán)境進(jìn)行檢測的代碼，因此整體給人一種技術(shù)水平錯位的感覺。

　　另外一個特點(diǎn)是當(dāng)以美國的代理IP訪問時，會直接獲得404，從提交到VT的記錄是由服務(wù)器直接返回404錯誤，可見該攻擊包針對不同地區(qū)的IP有做區(qū)別處理，反倒是大陸、臺灣、韓國的IP可以正常訪問，因此我們懷疑這次是對國內(nèi)的定向掛馬。

　　整體而言，雖然所使用的漏洞是常見的并且符合當(dāng)前活躍攻擊包的技術(shù)水平，但是其網(wǎng)址特征、頁面流程和參數(shù)傳遞等技術(shù)特點(diǎn)卻與目前活躍的NeutrinoEK、RigEK、MagnitudeEK不同，比較其Flash漏洞利用代碼與Magnitude有一定的相似度，對此我們將繼續(xù)關(guān)注。

　　四、總結(jié)

　　勒索軟件獲得的收益非常大，因此往往會采用最高級復(fù)雜的攻擊手段來廣泛傳播和躲避查殺。近期勒索軟件又有活躍的趨勢，此次掛馬行為雖然很快被我們發(fā)現(xiàn)，但是網(wǎng)上仍然不斷有用戶反饋中招，該掛馬截至目前為止仍然處于活躍狀態(tài)，我們也一直在持續(xù)對其進(jìn)行監(jiān)測。

　　為了防止感染勒索軟件，請大家務(wù)必及時更新Flash并打上最新的系統(tǒng)補(bǔ)丁，不要隨意單擊運(yùn)行郵件中的文件。而很多掛馬是通過廣告服務(wù)進(jìn)行傳播，所以盡量選擇具備廣告攔截功能的瀏覽器避免打開無用的廣告。

　　目前360安全衛(wèi)士會結(jié)合QEX非PE引擎靜態(tài)掃描功能和動態(tài)行為檢測，能夠有效攔截這類漏洞攻擊并阻止惡意軟件的運(yùn)行，在最新版360安全衛(wèi)士11.0中還提供了反勒索軟件服務(wù)，如果用戶在開通反勒索軟件服務(wù)的情況下仍然中毒造成損失的，360會負(fù)責(zé)賠付最高3比特幣(約13000元人民幣)的贖金，并協(xié)助還原加密文件。

　　本文由360 QEX引擎團(tuán)隊撰寫，感謝360追日團(tuán)隊和網(wǎng)絡(luò)安全研究院在本次掛馬來源定位過程中的技術(shù)支持。

　　參考文獻(xiàn)

　　[1] NeutrinoEK來襲：愛拍網(wǎng)遭敲詐者病毒掛馬 http://bobao.360.cn/news/detail/3302.html

　　[2] CVE-2016-0189 (Internet Explorer) and Exploit Kit

　　http://malware.dontneedcoffee.com/2016/07/cve-2016-0189-internet-explorer-and.html

　　[3] Several Exploit Kits Now Deliver Cerber 4.0

　　http://blog.trendmicro.com/trendlabs-security-intelligence/several-exploit-kits-now-deliver-cerber-4-0/

　　[4] Threat Spotlight: Angler Lurking in the Domain Shadows https://blogs.cisco.com/security/talos/angler-domain-shadowing

　　[5] 【木馬分析】Cerber敲詐者家族再升級：Cerber4變身隨機(jī)后綴 http://bobao.360.cn/learning/detail/3108.html

　　附錄

　　IOC信息：

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。