新型漏洞攻击套件“Underminer”闪现,近50万用户受影响
安全预警
近日,亚信安全发现了一个新型的漏洞攻击套件,并将其命名为“Underminer”。它不仅内置了一些功能,会阻止研究人员追踪其活动或逆向工程其送入的病毒,还能传送感染系统开机扇区的Bootkit以及名为Hidden Mellifera的虚拟货币挖矿病毒。然而,Underminer利用加密TCP信道来派送这些恶意软件,并且使用类似ROM文件系统格式(romfs)的自定义格式来封装恶意文件,这些作法让漏洞攻击套件及有效载荷(payload)难以被分析。
Underminer 的活动自7月17日开始,主要向亚洲国家分发其有效载荷。隐藏的Hidden Mellifera是从5月开始出现的,据报影响多达50万台的电脑,主要攻击目标为日本,占到了总攻击数的69.75%。据了解,Hidden Mellifera的作者还与2017年8月所报导的浏览器劫持木马Hidden Soul有关。据关联分析显示,Underminer是由同一批黑客所开发,而Underminer也散播了Hidden Mellifera。另外,Underminer是透过广告服务器派送,这服务器的网域名称也是用Hidden Mellifera开发者的电子邮件地址注册。
细数Underminer的特殊能力
Underminer采用的某些功能在其他漏洞攻击套件也曾使用过,如:浏览器分析和过滤、防止客户端重新访问、网址随机化及对有效载荷进行非对称加密等。Underminer的登陆页面可以透过User-Agent来分析侦测使用者的Adobe Flash Player版本和浏览器类型。但是,如果客户端不属于预定的目标类型,就不会派送恶意内容并将其重新导向正常网站。
Underminer还会为浏览器Cookie设定Token,如果受害者已经访问过漏洞攻击套件的登陆页面就不会再传送有效载荷,而会传送HTTP 404错误信息。这可以防止Underminer重复攻击同一个受害者,并且能够阻止研究人员透过重新访问恶意链接来重现攻击。Underminer还会随机化攻击所用的网址路径来躲避传统防毒软件的侦测。
【Underminer的网络流量显示攻击CVE-2016-0189(上),CVE-2015-5119和CVE-2018-4878(下)】
浅析Underminer如何隐藏漏洞攻击码
Underminer使用RSA加密来保护其漏洞攻击码,并防止其网络流量被重复播放。在攻击漏洞前,Underminer会生成随机密钥并发送到命令与控制(C&C)服务器。此密钥接着会被用来加密其JavaScript代码和漏洞攻击码,在HTTP响应标头“X-Algorithm”内指定对称加密算法并回传给受害者。在测试中,它所用的对称算法是RC4或Rabbit。
收到响应后,用生成的密钥来解密代码并执行。Underminer还会在密钥传输期间用RSA加密来做进一步的保护(随机密钥用内嵌在代码的公钥加密,只能用只有Underminer运作者知道的私钥解密)。即使可以看到漏洞攻击套件的网络流量或拿到样本也无法解密漏洞攻击码的有效载荷。这技术类似于其他漏洞攻击套件(尤其是Angler、Nuclear和Astrum),但那些使用的是Diffie-Hellman算法。
【使用RSA公钥加密随机密钥的JavaScript代码片段】
Underminer的漏洞攻击码
Underminer使用的几组安全漏洞较为常见,在其他漏洞攻击套件或恶意攻击者也用过:
CVE-2015-5119,Adobe Flash Player在2015年7月修补的use-after-free漏洞;
CVE-2016-0189,Internet Explorer在2016年5月修补的內存损毁漏洞;
CVE-2018-4878,Adobe Flash Player在2018年2月修补的use-after-free漏洞。
攻击这些漏洞时会执行恶意软件加载程序。每个都有类似的感染链,但执行方式不同。在攻击CVE-2016-0189时,会用regsvr32.exe执行包含Jscript代码的scriptlet(.sct文件)。Jscript会植入一个DLL文件并用rundll32.exe执行,它会从漏洞攻击套件加载并执行第二阶段的下载病毒。
当攻击Flash漏洞时,Underminer会直接执行shellcode来下载没有MZ标头的可执行文件。这相当于scriptlet所植入的第一阶段加载病毒(DLL文件)。加载病毒会取回相同的第二阶段下载病毒,然后注入新启动的Rundll32.exe程序。Flash漏洞攻击的感染链在安装恶意软件到系统时,所用的是无文件攻击的手法。我们的技术简介会进一步解释第二阶段下载病毒如何用加密TCP信道传送Bookit和虚拟货币挖矿病毒。
【Underminer漏洞攻击的感染流程】
亚信安全教你如何防范
与之前其他的漏洞攻击一样,我们预期Underminer会进一步打磨技术,混淆化传送病毒的方式且攻击更多的漏洞,同时也会阻止安全人员研究它们的活动。鉴于其运作的特性,我们也预期它们会让有效载荷多样化。
漏洞攻击套件目前可能不那么受重视,但Underminer显示出它们仍是种重大的威胁。它强调了重要的现实问题(对许多企业来说是件长期的挑战)——修补漏洞。对企业而言,漏洞攻击套件可能意味着要与时间赛跑。漏洞可能在任何时间被公开,而这导致的空窗期会让未经修补的系统(及储存在内的个人或业务关键数据)门户大开。以下是一些防范技巧:
保持系统及应用程序更新,并考虑使用虚拟修补技术,尤其是老旧的系统和网络。
积极监控网络,防火墙和部署入侵侦测和防御系统可以提供多层次安全防护来对抗恶意威胁;
实施最低权限原则,限制或停用可作为进入点的不必要或过期的应用程序和元件。
透过部署安全机制(如应用程序控制和行为监控)来实施纵深防御,防止未经授权或恶意应用程序或程序执行。
主动式的多层次安全防护是对抗漏洞攻击的关键,不论是针对网关、端点、网络和服务器。亚信安全防毒墙网络版OfficeScan可以在部署修补程序前,保护端点免受已知或未知的漏洞攻击。
行业热点:
【安全预警】勒索软件Magniber卷土重来,已向多个亚太国家蔓延
了解亚信安全,请点击“阅读原文”