在上個月,網絡安全公司趨勢科技( Trend Micro)發現了一種能夠利用Adobe Flash和IE瀏覽器最新漏洞的新型漏洞利用工具包,名為“Capesand”。
分析顯示,Capesand集合了大量在網上就可以找到的漏洞利用代碼,其中一個IE瀏覽器漏洞甚至是在2015年被公開披露的,距今已近5年的時間。
發現過程
在10月中旬,趨勢科技發現了一場利用Rig漏洞利用工具包來傳遞DarkRAT和njRAT惡意軟件的惡意活動。
但到了10月底,重定向不再指向Rig漏洞利用工具包,而是一種此前從未被公開披露過的漏洞利用工具包——Capesand。
圖1. Capesand漏洞利用工具包面板
圖2. Capesand漏洞利用工具包的流量模式
與其他工具包相比,Capesand漏洞利用工具包的代碼非常簡單,幾乎全都是從網上覆制過來的,就連混淆和打包技術也都是直接照搬。
惡意活動
惡意網站偽裝成一個討論“區塊鏈”的博客網站,但實際上包含一個隱藏的iframe,用於加載漏洞利用工具包。
圖3.惡意網站頁面
在10月中旬,隱藏的iframe加載的是Rig漏洞利用工具包。到了10月底,iframe被更改為了加載“landing.php”——託管在同一臺服務器上的Capesand。
圖4.隱藏的iframe重定向到Rig漏洞利用工具包(上)和Capesand漏洞利用工具包(上)
Capesand漏洞利用工具包
通過Capesand的面板,攻擊者可以下載前端源代碼、部署自己的服務器,以及查看當前的使用狀態。
前端源代碼看上去與被命名為“Demon Hunter”的老舊漏洞利用工具包的源代碼非常類似,這使得趨勢科技相信它很有可能就是Capesand的前身。
除了能夠利用Adobe Flash漏洞CVE-2018-4878以及IE瀏覽器漏洞CVE-2018-8174之外,Capesand還能夠利用CVE-2019-0752,這是一個在今年4月份才被公開披露的IE瀏覽器漏洞。
圖5.Capesand登錄頁面腳本檢查IE版本並加載CVE-2018-8174漏洞利用代碼或CVE-2019-0752漏洞利用代碼
圖6. Capesand登錄頁面腳本檢查Flash版本並加載CVE-2018-4878漏洞利用代碼
隨著調查的深入,趨勢科技還發現了一個能夠利用IE漏洞CVE-2015-2419的Capesand版本。
圖7.攜帶惡意shellcode的CVE-2015-2419漏洞利用代碼
圖8.在受感染計算機上執行的惡意shellcode
Capesand攻擊鏈
通過Capesand成功利用漏洞之後,第一階段將下載mess.exe並嘗試利用CVE-2018-8120升級特權,然後執行njcrypt.exe以釋放最終有效載荷(如njRAT)。
圖9.Capesand攻擊鏈(CVE-2015-2419)
模塊CyaX_Sharp.dll會生成一個配置文件來跟蹤受感染計算機的配置,並檢查殺毒軟件ESET是否存在。
圖10. CyaX_Sharp.dll檢查殺毒軟件ESET是否存在
結論
儘管Capesand漏洞利用工具包目前仍處於開發階段,但已經具備了能夠入侵目標計算機的能力,且試圖通過蹭一些社會熱點(如“區塊鏈”)來吸引更多的受害者。
此外,儘管它利用的都是一些已知漏洞,但通過檢查一些殺毒軟件的存在,仍能夠將檢出率控制在最低。
閱讀更多 黑客視界 的文章
