Terror不断演变：漏洞攻击包日趋成熟-Cisco.PDF

2 0 1 7 年 5 月 1 8 日，星期四 Terror 不断演变：漏洞攻击包日趋成熟 作者：Holger Unterbrink 和Emmanuel Tacheau 执行摘要 Talos 一直致力于监控主要的漏洞攻击包(EK)。在调查我们最近在RIG 漏洞攻击包攻击活动 中观察到的变化时，我们发现了另一种众所周知的常见攻击工具：Terror 漏洞攻击包。 Terror 漏洞攻击包是去年的漏洞攻击包市场大规模整合后出现的新参与者之一。当Angler 和 同类攻击包消失后，新的漏洞攻击包开始来碰运气。这些攻击包中有许多远远达不到Angler 的层次，其中一个是去年年底出现的Terror 漏洞攻击包。起初该攻击包是一个非常简单的版 本，通过同时利用大量漏洞对受害者进行地毯式轰炸，无论漏洞是否与受害者的浏览器环境 匹配都是如此。不幸的是，我们注意到制作者逐步改进该攻击包，使其很快演进为本报告中 分析的必威体育精装版版本。 我们发现一个可能遭到入侵的合法网站充当了恶意软件入口，它首先将访问者重定向到一个 RIG 漏洞攻击包登录页面，继而在一天之后转到Terror 漏洞攻击包。 这可能说明各种攻击活动开始协作并共享资源，也可能仅仅是一种攻击活动在模仿另一种攻 击活动。Terror 似乎在不断演进。在这场攻击活动中，它添加了更多漏洞，并且不再对受害 者进行地毯式轰炸，而是评估有关受害者环境的数据，然后根据受害者的操作系统、补丁级 别、浏览器版本和安装的插件选择可能成功的漏洞。这使得调查人员更加难以找到它们掌握 的全部漏洞。 值得注意的是，攻击者为他们将要利用的漏洞使用明文URL 参数，例如cve2013-2551 = URL 中的cv 技术详情： 攻击链开始于一个遭到入侵的网站，该网站使用HTTP 302 临时移动响应，将受害者重定向 到漏洞攻击包登录页面。如以下图A 所示，登录页面含有一些随机Lorem Ipsum 文本。 图A 如执行摘要中所述，该攻击包使用某个经过混淆处理的JavaScript 代码评估受害者的浏览器 环境，例如它会尝试获取有关以下插件的版本信息：ActiveX 、Flash、PDF 阅读器、Java 、 Silverlight 、QuickTime 等。然后，它使用此函数的返回值提交名为“frm”的隐藏表单。如 下所示，它正在将这些版本信息填充到表单中。表单名称看起来是动态生成的，在我们记录 的不同会话中，它们各不相同。 return document.getElementById(65c0cd56).value = r.flash, document.getElementById(1f57be6f).value = r.pdf, document.getElementById(1bc1bd0f).value = t() + | + r.silverlight, document.getElementById(3d64d278).value = r.quicktime, document.frm.submit(), r 您可以在页面最后找到该HTML 表单代码： 图B 在这一会话中，我们可以通过以下方式解析名称： 65c0cd56 = Flash 版本 1f57be6f = PDF 版本 1bc1bd0f = Silverlight 版本 3d64d278 = Quicktime 版本 在其他会话中，这些名称会更改，例如： A59117,B59117,C59117,Q59117,102b603155066b2d,40a632b5,7c5caca6 表单的第一部分（到值“od50AA42KhpGDD69 …snip...CRDXrL45PYMCC911K”）由服 务器填充。我们假设这些信息是动态填充的，并可能进一步添加关于受害者和攻击活动的 信息。 该页面生成的POST 请求得到的响应是一个包含JavaScript 和VBScript 的HTML 页面。 这些脚本包含的URL 指向它们将要利用的CVE。对于使用Win7 和Internet Explorer 8 的 会话，它们是下面这样的： JavaScript ： hxxp://146[.]185[.]166[.]209/d/9477ff41b6290c91547cc8e31ad53bee/?q=r4r=c3c100b92ff bb7ca95d18559c72c1affe=