记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

BlackHole重出江湖:一次针对专业军事论坛的“游击式”挂马事件分析报告

2017-01-21 01:20

BlackHole重出江湖:一次针对专业军事论坛的“游击式”挂马事件分析报告。1月11日,360安全卫士云安全系统检测到国内知名军事论坛“军号网”上出现可疑的挂马行为 ,随即进行追踪分析。经过进一步确认,发现这是一次攻击范围很小、时间短暂,而且被攻击者迅速清理现场的挂马, 很可能是有明确目标的针对性攻击事件 。

\

攻击者使用改造升级版的BlackHole EK挂马工具包(BlackHole作者早在2013年已被逮捕),结合论坛的XSS漏洞进行挂马,相比普通黑产具有更高的技术水平。

论坛挂马手段

这次挂马点比较隐蔽,经过反复检查后确认是利用论坛的漏洞插入了挂马页面。该漏洞是Discuz论坛针对ed2k协议解析时的一个XSS漏洞[2],在解析过程论坛会自动对e2dk链接中的文件大小进行识别并直接输出,并且未进行过滤,导致出现了一个存储型XSS。攻击者利用该漏洞插入了恶意js脚本代码,调用document.write函数向页面中插入挂马iframe页面和恶意js脚本。

\

图1 攻击者发帖

\

图2 插入的XSS代码

挂马页面分析

攻击者在帖子中插入了两类代码,其中第一类仅在其发表的第一个帖子中存在,该脚本是从网上的获取cookie代码修改而来,怀疑也是类似获取用户访问的信息,但是可能编写有问题,并没有获取成功。

\

图3 获取信息的脚本内容

而在其他帖子中则插入的恶意挂马代码,利用js载入一个iframe,地址是hxxp://lynxlyragrus.com/aengewauhg/ball/nobody_grows-leaving-complained.php,注意这个网址采用了com域名,其他相关的url也有伪装模式。载入的页面是攻击包的着陆页面,该页面的代码加密特点是使用了-1来分割加密的字符串,具体的解密算法如下图所示

\

图4 着陆页面解密代码

解码后整体代码分成三部分,第一部分则是一个内容异常丰富的浏览器及各种插件版本判断方法,代码编写规范,相比其他常见的EK更加的工程化。第二部分是使用js对Java、Flash进行版本判断,并选择执行对应的挂马函数。

\

图5 版本判断代码

然后是最重要的第三部分,其主要功能是待执行的多个函数代码,分别为命名为f1、f2、f3、i1、i2、i3、p2、j1,通过调用这些函数,引入漏洞利用文件和js代码。这些函数也会在引入文件的同时向服务端传递动态生成的参数信息,以保证漏洞页面只能被一次性访问。

\

图6 引入攻击代码

其中f2函数则载入了一个Flash文件,该文件会通过RC4加密方法把实际的漏洞利用代码加密到BinaryData中,解开后根据代码确认是CVE-2015-8651。

\

图7 CVE-2015-8651代码

i1代码引入的js文件是被Base64编码过的,解开之后是CVE-2013-2551的漏洞利用代码,因为该漏洞时间较久,因此很少有攻击包会选择这个漏洞。

\

图8 CVE-2013-2551代码

进一步分析

复现挂马之后,我们对这个挂马页面进行了多次试探,试图发现更多信息。经过多次尝试,我们发现所有的页面访问都具备漏洞攻击包的常见安全措施,页面会对请求做一定的防范措施,使用错误的链接和过期的网址参数访问只会获得“Industry is the parent of success”的字符串。此外,我们还发现该漏洞针对不同浏览器版本会引入不同漏洞攻击函数,如图6所示的着陆页面漏洞攻击函数中有很多是空白直接返回的,但是使用IE9访问时i3函数出现了的具体攻击代码内容,而换用Chrome去访问,则能够获取函数f1和f3代码内容,根据函数命名猜测i1、i2、i3是ie的漏洞页面,f1、f2、f3是针对Flash的相关漏洞,p2则是pdf相关漏洞,j1则是java的漏洞。

知识来源: www.2cto.com/article/201701/590582.html

阅读:107970 | 评论:0 | 标签:挂马

想收藏或者和大家分享这篇好文章→复制链接地址

“BlackHole重出江湖:一次针对专业军事论坛的“游击式”挂马事件分析报告”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云