首页
社区
课程
招聘
[翻译]理解Angler Exploit kit 第一部分Exploit 基本原理
发表于: 2019-2-27 22:49 6552

[翻译]理解Angler Exploit kit 第一部分Exploit 基本原理

2019-2-27 22:49
6552


        一般的讲,犯罪组织使用两种方法传播恶意软件。最常使用的方法是发送垃圾邮件。这是比较直接的方式,通常恶意软件位于邮件附件或者正文的一个链接中。然而,发送垃圾邮件的方法需要被感染用户一系列动作才能成功感染(比如打开邮件附件)。

        另一种传播恶意软件的方式就是Exploit kit(EK)。当潜在的受害者浏览网站时,EKs在幕后运行。EK不需要用户进行额外的操作。

EKs 是一种非常复杂的传播方式。恶意软件通过EK调用其他能够导致恶意软件感染事件链中的其他组件。这篇博客是旨在容易理解Angler EK机制的两篇文章的第一部分。这里我们关注以Microsoft Windows系统为目标的EK。Windows任然是很受欢迎的系统,并且是犯罪分子通过EK实施网络犯罪的主要平台。

        为了能更好的理解EKs,你应该理解如下术语。

        漏洞(Vnlnerability)——导致未授权访问或攻击以及其他恶意行为的软件意外缺陷。

        漏洞利用代码(Exploit)——应用漏洞或者系统漏洞的某个文件或者一段代码。

        漏洞利用工具(EK)——利用基于浏览器的软件应用漏洞实施漏洞利用的服务框架,从而在用户不知情的情况下,感染Windows桌面或者平板电脑。

        恶意软件(Malware)——当使用EK攻击成功后,EK传播的恶意载荷。EK载荷就是感染Window计算机的恶意软件(EXE或者DLL文件)。

        实施者(Actor)——一系列恶意软件背后的个人或者犯罪组织。

        违法活动(Campaign )——使用EKs和某些基础设施进行的一系列攻击,是受害者重定向到EK。

        EK是不能把恶意软件投递到某个系统的。使用者必须重定向到某个EK服务之后才能传播恶意软件。实施者必须通过一系列违法活动引导受害者访问EK。

实施者总是对他们传播的恶意软件的特征进行标识。在受害者访问某个EK之前,实施者总是对前期活动特征进行标识。实施者和违法活动是两个不同的项目。一个实施者可以使用一个或者两个违法活动进行恶意软件的传播。而更多的实施者使用同样的违法活动传播不同的恶意软件。

举个例子,一个CryptXXX恶意软件幕后的活动者使用多个违法活动传播恶意软件。我们已经发现至少两个不同的违法活动pseudo-Darkleech和Afraidgate传播CryptXXX恶意软件。还有一个多个实施者使用同一个违法活动EITest campaign的例子。我们已经注意到不同类型的恶意软件使用同一个违法活动。

        很多EKs的作者使用软件即服务的商业模式。这种模式有时也叫做平台即服务、恶意软件即服务或者EK即服务。

在地下犯罪交易中,EKs通常几千美元每个月。EK拥有者提供购买者一个管理平台从而监督租用的服务,购买者使用该平台攻击IT设施。如前所述,结合EK独特攻击基础设施被视为一场违法活动。

        在一个使用EK的攻击过程中,下面是感染计算机成功的一个典型事件链。


图1:EK中的事件链

        加载网页是事件链的第一步。这种HTML文件被幕后加载,受害者的浏览器是不可见的。加载的HTML网页包包含收集受害者计算机信息的代码,并且查找存在漏洞的应用,这些应用包括Adobe Flash Player、Java Runtime Environment、Microsoft Silverlight还有浏览器(通常是Internet Explorer)以及其他。如果你的计算机补丁打全,所有应用都及时更新,EKs将停止加载这个网页。如果你计算机补丁不全,应用更新不及时,EKs将发送它找到的应用漏洞相应的漏洞利用代码。

EK的漏洞利用代码利用如Flash Player, Internet Explorer等软件的漏洞,偷偷的在目标主机上运行恶意软件。通过查询Mitre.org的CVE漏洞数据库,你会发现EK的漏洞利用代码主要利用可执行任意代码类型的漏洞。针对Flash, Java, 或者Silverlight,EK会发送特定类型的文件。针对Web浏览器,漏洞利用代码被包含在HTML中。

EK的载荷就是用来感染Windows计算机的EXE或者DLL类型文件。有的载荷也许是文件下载器,主要功能是接收其他类型恶意软件。有的载荷就是最终的恶意软件。更高级的EKs会使用网络发送简单的XOR加密二进制数据或者RC4加密算法的密钥。加密的二进制数据随后被加密或者在受害者的机器上被执行。

        EK通常在一个违法活动中运作。大多数前期活动使用一个破损的网站来重定向流量指向EK。这提供了一个笔直的事件链,如下图所示



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 2
支持
分享
最新回复 (1)
雪    币: 351
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
2019-2-28 11:28
0
游客
登录 | 注册 方可回帖
返回
//