歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Shadowgate攜進化版Greenflash Sundown回歸

來源:本站整理 作者:佚名 時間:2019-07-02 TAG: 我要投稿

大約2年前,ShadowGate攻擊活動開始用新升級版的Greenflash Sundown漏洞利用套件來傳播加密貨幣挖礦機。攻擊活動主要針對亞洲用戶,受害者范圍遍布全球。
Greenflash Sundown
ShadowGate (也叫做WordsJS) 攻擊活動是研究人員2015年發現的攻擊活動。該攻擊活動通過被黑的Revive/OpenX廣告服務器和漏洞利用套件來傳播惡意軟件。2016年9月,在被開展治理之后,攻擊活動嘗試隱藏自己的活動。
同年,攻擊者也開發了自己的漏洞利用套件來避免使用地下市場的漏洞利用套件服務,也就是Greenflash Sundown。2016年底,攻擊活動停止對入侵的廣告服務器的注入攻擊,并限制其通過被黑的韓國網站傳播勒索軟件的活動。2018年4月,ShadowGate被指出使用Greenflash Sundown來傳播加密貨幣挖礦機。但注入活動只限于東亞國家,并且很快就停止了。
在經過一段時間的沉寂之后,研究人員發現今年6月起,ShadowGate又開始攻擊廣告服務器了。這些攻擊的目標不僅僅是某個區域,而是全球。訪問嵌入了惡意廣告的網站的受害者會被重定向到Greenflash Sundown利用套件,并感染了門羅幣加密貨幣挖礦機。這是自2016年開始,研究人員發現的該組織最著名的活動。盡管這3年,該組織深入簡出,現在看來應該是在開發和進化其漏洞利用套件。
Greenflash Sundown重塑繞過和攻擊技術
ShadowGate在不斷開發其漏洞利用套件。2018年,Greenflash Sundown在其他漏洞利用套件之前融入了CVE-2018-4878 Flash漏洞利用,并且在2019年4月加入了CVE-2018-15982 Flash漏洞利用。對漏洞利用套件加入新的漏洞利用來進行持續更新可以保持其感染的速度。

圖1. ShadowGate和Greenflash Sundown漏洞利用套件攻擊流
 

圖2. ShadowGate活動時間軸
 

圖3. ShadowGate攻擊活動的國家分布(2019年6月7日-6月24日)
在今年6月開始的ShadowGate最新攻擊活動中,研究人員發現了含有2個更新的Greenflash Sundown漏洞利用套件新版本。

圖4. Greenflash Sundown利用套件流量模式(上)和CVE-2018-15982漏洞利用(下)
第一個變化是加入了公鑰加密算法來保護漏洞利用套件payload。2018年11月,研究人員發現該漏洞利用套件使用相同的加密技術在最后一次感染階段保護惡意軟件payload。這次,惡意軟件在剛開始的通信中就使用了加密來加密感染過程中的全部流量。
加密的過程如下:首先,受害者生成一個名為nonceto的隨機數來在每次攻擊中生成一個唯一的secret key。然后用公鑰對secret key進行加密,然后將其安全地發送到漏洞利用組件。使用對應私鑰的漏洞利用組件就可以恢復出secret key并用它來加密惡意payload,惡意payload會用RC4算法進行加密。然后payload就會發送給受害者,受害者用secret key解密。
使用加密技術是為了防止安全解決方案檢測到傳輸給受害者的惡意payload。理論上講,因為secret key只存在在內存中,而且不是以明文的形式傳送,因此惡意軟件分析人員也很難找到secret key并解密惡意payload。
這種使用公鑰加密算法的方法在漏洞利用套件Underminer中也見到過。但研究人員發現Greenflash Sundown漏洞利用套件在加密過程中出現了錯誤。惡意軟件使用的隨機數不是為了生成secret key,也不是作為RC4的key來加密受害者的WebGL信息。生成的隨機數實際上在通信過程中以明文形式發送的了,這樣就更容易去讀取。有了隨機數,就可以重新生成secret key并解密惡意payload。

圖5. Greenflash Sundown漏洞利用套件用 JSEncrypt庫加密
最新的Greenflash Sundown漏洞利用套件版本也有一個更新的PowerShell加載器。從2018年11月起,研究人員發現該漏洞利用套件開始使用PowerShell加載器,以進行無文件惡意軟件感染。升級的加載器版本可以收集受害者所在的環境信息,并發送信息給漏洞利用套件服務器。
這樣在攻擊過程中就更加有針對性和準確性。攻擊者可以根據受害者的情況去傳播payload。這次升級幫助攻擊者繞過獲取惡意軟件的沙箱和蜜罐。從受害者處獲取的信息包括操作系統詳情、用戶名、視頻卡、硬盤信息和反病毒產品。

圖6. PowerShell加載器發送受害者信息,并用無文件感染加載惡意軟件payload
 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 看广告新闻赚钱的软件哪个好 上海余金金融赚钱嘛 余额宝往支付宝赚钱限额多少钱 怎么样用 闲来互娱 赚钱 今日股票推荐黑马 17只个股有潜力 赚钱不养台独 网上编织店赚钱吗 梦幻西游69j赚钱 怎么打金币赚钱快 传销赚钱了怎么办 国内股票配资实盘排名 今日股票 " 股票配资排名-选杨方配资给力 靠谱网上赚钱的工作 全国最大股票配资 上海股票推荐