趨勢科技發現一個新的漏洞攻擊套件(命名為Underminer),它會使用其他漏洞攻擊套件出現過的功能來阻止研究人員追蹤其活動或逆向工程其送入的病毒。Underminer會傳送感染系統開機磁區的bootkit及名為Hidden Mellifera的虛擬貨幣挖礦病毒。Underminer透過加密TCP通道來派送這些惡意軟體,並且用類似ROM檔案格式(romfs)的客製化格式來封裝惡意檔案。這些作法讓漏洞攻擊套件及有效載荷(payload)難以被分析。Underminer似乎是在2017年11月所開發。不過在此次案例中,使用了包括Flash漏洞攻擊碼,並且會用無檔案攻擊手法來安裝惡意軟體。
Underminer在7月17日的活動顯示它主要將病毒散播到亞洲國家。Hidden Mellifera是從5月時出現,據報影響多達50萬台的電腦。Hidden Mellifera的作者也跟2017年8月所報導的瀏覽器劫持木馬Hidden Soul有關。關聯分析顯示Underminer是由同一批駭客所開發,而Underminer也散播了Hidden Mellifera。另外,Underminer是透過廣告伺服器派送,這伺服器的網域名稱是用Hidden Mellifera開發者的電子郵件地址註冊。
圖1、Underminer漏洞攻擊亞洲國家,據報影響多達50萬台電腦,主要攻擊日本,台灣居第二(從7月17日到7月23日)
Underminer的能力
Underminer使用其他漏洞攻擊套件也採用過的功能:瀏覽器分析和過濾、防止客戶端重新訪問、網址隨機化及對有效載荷進行非對稱加密。Underminer的登陸頁面可以透過user-agent來分析偵測使用者的Adobe Flash Player版本和瀏覽器類型。如果客戶端不屬於預定的目標類型,就不會派送惡意內容並將其重新導向正常網站。Underminer還會為瀏覽器cookie設定token;如果受害者已經訪問過漏洞攻擊套件的登陸頁面就不會再傳送有效載荷,而會傳送HTTP 404錯誤訊息。這可以防止Underminer重複攻擊同一個受害者,並且能夠阻止研究人員透過重新訪問惡意連結來重現攻擊。Underminer還會隨機化攻擊所用的網址路徑來躲避傳統防毒軟體的偵測。
圖2、Underminer的網路流量顯示攻擊CVE-2016-0189(上),CVE-2015-5119和CVE-2018-4878(下)
Underminer如何隱藏漏洞攻擊碼
Underminer使用RSA加密來保護其漏洞攻擊碼並防止其網路流量被重複播放。在攻擊漏洞前,Underminer會生成隨機金鑰並發送到命令與控制(C&C)伺服器。此金鑰接著會被用來加密其JavaScript程式碼和漏洞攻擊碼,在HTTP回應標頭“X-Algorithm”內指定對稱加密演算法並回傳給受害者。在我們的測試中,它所用的對稱演算法是RC4或Rabbit。
收到回應後,用生成的金鑰來解密程式碼並執行。Underminer還會在金鑰傳輸期間用RSA加密來做進一步的保護(隨機金鑰用內嵌在程式碼的公鑰加密。只能用只有Underminer運作者知道的私鑰解密)。即使可以看到漏洞攻擊套件的網路流量或拿到樣本也無法解密漏洞攻擊碼的有效載荷。這技術類似於其他漏洞攻擊套件(尤其是Angler、Nuclear和Astrum),但那些使用的是Diffie-Hellman演算法。
圖3、使用RSA公鑰加密隨機金鑰的JavaScript程式碼片段
Underminer的漏洞攻擊碼
Underminer使用其他漏洞攻擊套件和惡意攻擊者也用過的幾組安全漏洞:
- CVE-2015-5119,Adobe Flash Player在2015年7月修補的use-after-free漏洞。
- CVE-2016-0189,Internet Explorer在2016年5月修補的記憶體損毀漏洞。
- CVE-2018-4878,Adobe Flash Player在2018年2月修補的use-after-free漏洞。
攻擊這些漏洞時會執行惡意軟體載入程式。每個都有類似的感染鏈,但執行方式不同。在攻擊CVE-2016-0189時,會用regsvr32.exe執行包含Jscript程式碼的scriptlet(.sct檔案)。Jscript會植入一個DLL檔並用rundll32.exe執行,它會從漏洞攻擊套件載入並執行第二階段的下載病毒。
當攻擊Flash漏洞時,Underminer會直接執行shellcode來下載沒有MZ標頭的可執行檔。這相當於scriptlet所植入的第一階段載入病毒(DLL檔)。載入病毒會取回相同的第二階段下載病毒,然後注入新啟動的rundll32.exe程序。Flash漏洞攻擊的感染鏈在安裝惡意軟體到系統時所用的是無檔案攻擊的手法。我們的技術簡介會進一步解釋第二階段下載病毒如何用加密TCP通道傳送bookit和虛擬貨幣挖礦病毒。
圖4、Underminer漏洞攻擊的感染流程
緩解措施和趨勢科技解決方案
與之前其他的漏洞攻擊一樣,我們預期Underminer會更加磨練技術,進一步混淆化傳送病毒的方式且攻擊更多的漏洞,同時也會阻止資安人員研究它們的活動。鑑於其運作的特性,我們也預期它們會讓有效載荷多樣化。
漏洞攻擊套件目前可能不那麼受重視,但Underminer顯示出它們仍是種重大的威脅。它強調了重要的現實問題(對許多企業來說是件長期的挑戰) – 修補漏洞。對企業而言,漏洞攻擊套件可能意味著要與時間賽跑。漏洞可能在任何時間被公開,而這導致的空窗期會讓未經修補的系統(及儲存在內的個人或業務關鍵資料)門戶大開。以下是一些最佳實作:
- 保持系統及應用程式更新,並考慮使用虛擬修補技術,尤其是老舊的系統和網路。
- 積極監控網路;防火牆和部署入侵偵測和防禦系統可以提供多層次安全防護來對抗惡意威脅。
- 實施最低權限原則:限制或停用可作為進入點的不必要或過期的應用程式和元件。
- 透過部署安全機制(如應用程式控制和行為監控)來實施縱深防禦,防止未經授權或惡意應用程式或程序執行。
主動式的多層次安全防護是對抗漏洞攻擊的關鍵 – 不論是針對閘道、端點、網路和伺服器。具備XGen端點安全防護技術的趨勢科技OfficeScan具有Vulnerability Protection可以在部署修補程式前保護端點免受已知和未知的漏洞攻擊。趨勢科技的端點解決方案(如趨勢科技Smart Protection Suites和Worry-Free Business Security)可以偵測和封鎖惡意檔案及所有相關惡意網址,保護最終使用者和企業免於這些威脅。
我們在此技術簡介內提供了Underminer感染鏈的詳細分析及入侵指標。
@原文出處:New Underminer Exploit Kit Delivers Bootkit and Cryptocurrency-mining Malware with Encrypted TCP Tunnel 作者:趨勢科技網路安全解決方案團隊(Jaromir Horejsi和Joseph C. Chen)