藉助廣告平臺進行掛馬攻擊
黑客藉助廣告平臺進行掛馬攻擊的事件屢見不鮮,而近日的“雙殺”漏洞掛馬攻擊同樣是藉助廣告平臺實現的。藉助廣告平臺進行掛馬攻擊有三點優勢:
1. 攻擊覆蓋範圍廣。由廣告平臺投放的廣告可能出現在任何規模、任意類型的網站上,用戶瀏覽展示掛馬廣告頁面的站點後就會中招;
2. 審核難度大。廣告平臺每天需要接收和審核大量的廣告內容,而黑客一般會對掛馬廣告頁面的代碼進行混淆,這無疑加大了審核難度;
3. 可實現主動攻擊。網頁掛馬攻擊能否實際起效,關鍵在於用戶是否瀏覽掛馬頁面。而藉助廣告平臺進行掛馬攻擊則在這方面更具優勢:因為廣告不僅存在於網頁中,也存在於一些桌面程序彈出的新聞窗口中,這些主動彈出的新聞窗口能夠在無用戶交互的情況下觸發漏洞代碼。
從此次掛馬攻擊的攻擊源Url來看,黑客藉助tanx廣告平臺進行掛馬攻擊。源頁面經過兩次跳轉後來到掛馬頁面hxxp://210.223.140.22:8080,該頁面中嵌入了“雙殺”漏洞利用代碼。
圖2 掛馬攻擊源Url
圖3 掛馬頁面中的CVE-2018-8174漏洞利用代碼
從shellcode特徵不難看出,是基於5月25日國外安全研究人員公開的CVE-2018-8174 Metasploit模塊生成的。只不過,這份公開的利用代碼仍然存在問題,這也導致此次掛馬攻擊並非完全成功。若攻擊成功,將從hxxp://219.65.109.87/css/2.exe下載惡意程序到當前目錄,命名為svchost.exe後執行。
圖4 shellcode內容
最終目的——盜號+盜Q幣
svchost.exe是個下載者,從hxxp://ozvdkfpg2.bkt.clouddn.com/pug.jpg下載盜號木馬,並用0x00填充文件末尾使文件體積膨脹以對抗安全軟件。文件體積膨脹前後大小相差60多倍。
圖5 體積膨脹前後文件大小對比
盜號木馬與C&C地址hxxp://221.229.166.239:6656進行打點通信。在確認系統中運行著Steam後,盜號木馬會結束Steam進程並彈出一個偽造的Steam登陸窗口。除了在對鍵盤輸入的支持上稍有瑕疵外,該偽造的登陸窗口與正常的Steam登陸窗口沒有絲毫差別。
圖5 偽造的登陸窗口(圖左)和正常的登陸窗口(圖右)
盜號木馬內部用JS實現了Steam商城的登陸封包,用於驗證用戶輸入的帳號和密碼是否正確。若輸入的帳號密碼有誤則要求用戶重新輸入,若輸入的帳號密無誤,這組帳號密碼將以POST的形式提交到hxxp://221.229.166.239:6656/fen/111/pm1.asp。
不過黑客並不會滿足於只盜取Steam帳號,因為用戶一旦發現帳號被盜,可以通過綁定Steam的郵箱進行找回。因此盜號木馬在用戶輸入正確的帳號和密碼之後彈出另一個提示框,以安全認證為由要求用戶輸入綁定Steam的郵箱帳號和密碼,郵箱帳號密碼會提交到hxxp://221.229.166.239:7767/fen/222/pm.asp。
圖6 盜號木馬以安全認證為由要求輸入綁定Steam的郵箱帳號密碼
當然,通過一個盜號木馬獲取更多的東西是黑客最喜歡的。盜號木馬確認Steam綁定的郵箱是個QQ郵箱並且郵箱帳號密碼正確之後,會查詢郵箱對應的QQ號賬戶中是否有Q幣,如果帳戶中有Q幣則消費這些Q幣為指定QQ號充值遊戲“龍與地下城”點券(QQ號由盜號木馬請求hxxp://ozvdkfpg2.bkt.clouddn.com/cq.txt在線獲取),充值數額為3000點券——摺合30Q幣。
圖7 充值點券請求包內容
攻擊者曾製造多起掛馬攻擊事件
通過對此次掛馬攻擊特徵的多方面分析可以斷定攻擊來自於國內一知名的黑產組織,該組織曾製造多起掛馬攻擊事件,包括今年4月12日和5月9日發生的兩起大規模掛馬事件。
表1 該黑產組織曾經制造的掛馬攻擊事件
該黑產組織並不具備漏洞挖掘能力以及將漏洞POC(概念驗證)轉化為Exploit(可進行實際攻擊的漏洞利用)的能力,但是其具有極強的信息獲取能力與成果轉化能力,能在漏洞利用代碼公開的第一時間獲取到相關信息並將其集成到攻擊包中。今年曝光的被用於網頁掛馬的兩個強力漏洞CVE-2018-4878和CVE-2018-8174在漏洞利用代碼公開之後不久就被該黑產組織用於掛馬攻擊。
圖8 CVE-2108-4878和CVE-2018-8174從公開到國內首現掛馬利用時間線
在載荷類型方面,該黑產組織通過掛馬攻擊向用戶計算機下發遠控木馬、銀行木馬、惡意推廣程序、挖礦木馬和盜號木馬等。該組織早期偏愛惡意推廣程序,並配合Rootkit對計算機進行持久控制。不過近期其釋放的載荷類型更多的是銀行木馬、挖礦木馬和盜號木馬這類不需要持久控制的惡意程序,這類惡意程序能夠在儘量短的時間內將利益最大化,並且能夠減少與殺毒軟件的持續對抗。可見,該黑產組織追求“兵貴神速”。不難推斷,盜號木馬、銀行木馬將會是該黑產組織重點使用的載荷類型。
閱讀更多 辣評科技界 的文章
