Hidden Bee是如何利用新型漏洞進(jìn)行傳播，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

為霍山等地區(qū)用戶(hù)提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)，及霍山網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站、霍山網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專(zhuān)業(yè)、用心的態(tài)度為用戶(hù)提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶(hù)的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

寫(xiě)在前面的話(huà)

最近我們發(fā)現(xiàn)了一個(gè)試圖利用CVE-2018-4878（Flash Player中的漏洞）漏洞的攻擊，其序列與我們當(dāng)前發(fā)現(xiàn)的任何漏洞利用工具都不一樣。經(jīng)過(guò)調(diào)查，我們發(fā)現(xiàn)這是中國(guó)安全公司奇虎360在2017年年底所引用的現(xiàn)有開(kāi)發(fā)框架的一部分。但當(dāng)時(shí)payload似乎是一個(gè)推廣廣告軟件的木馬。而這次使用的payload它不是一個(gè)標(biāo)準(zhǔn)的PE文件。相反，它更像是一種多階段可執(zhí)行格式，并且它還充當(dāng)一個(gè)下載加載程序，用于檢索隱藏的Bee miner僵尸網(wǎng)絡(luò)使用的LUA腳本。這可能是第一個(gè)用來(lái)挖掘加密貨幣的bootkit案例。

廣告概述

攻擊者利用成人網(wǎng)站的誘惑性廣告將受害者吸引到釣魚(yú)頁(yè)面。我們認(rèn)為此系列廣告主要針對(duì)亞洲國(guó)家地區(qū)用戶(hù)，根據(jù)所投放的廣告和我們已知的數(shù)據(jù)。這個(gè)聲稱(chēng)是可以在線(xiàn)約會(huì)服務(wù)的服務(wù)器包含一個(gè)惡意的iframe，其主要負(fù)責(zé)開(kāi)發(fā)和感染用戶(hù)。

IE exploit

在這里，惡意代碼從具有嵌入式加密塊的網(wǎng)頁(yè)開(kāi)始執(zhí)行。并采用Base64編碼，然后使用RC4或Rabbit兩種算法之一進(jìn)行加密：

在解密之后，該塊將被執(zhí)行。您可以在這里找到正在運(yùn)行的Java Script的解碼版本。我們可以在腳本中看到，它會(huì)生成隨機(jī)會(huì)話(huà)密鑰，然后使用攻擊者的公共RSA密鑰對(duì)其進(jìn)行加密：

加密的密鑰將傳遞到下一個(gè)函數(shù)并轉(zhuǎn)換為JSON格式，對(duì)硬編碼的URL執(zhí)行POST請(qǐng)求：

如果我們查看客戶(hù)端和服務(wù)器之間的流量（客戶(hù)端發(fā)送加密的“key”，服務(wù)器響應(yīng)“value”），我們更明顯發(fā)現(xiàn)這一點(diǎn)：

服務(wù)器端

1.攻擊者的使用私有RSA密鑰加密，服務(wù)器傳遞解密會(huì)話(huà)的密鑰。

2.選擇對(duì)稱(chēng)算法來(lái)(Rabbit或RC4)加密漏洞payload。

3.將加密的內(nèi)容返回給客戶(hù)端。由于客戶(hù)端在內(nèi)存中仍然有密鑰的未加密版本，所以它能夠解密并執(zhí)行該漏洞。然而，只從通信流量不能檢索原始會(huì)話(huà)密鑰，也不可能重現(xiàn)漏洞。但幸運(yùn)的是，我們?cè)趧?dòng)態(tài)分析中成功捕獲了漏洞。并且我們發(fā)現(xiàn)攻擊者利用的漏洞是CVE-2018-8174。

Flash漏洞利用

這是一個(gè)較新的Flash漏洞（CVE-2018-4878）利用程序,在奇虎360發(fā)布文檔時(shí)并不是其exploit kits的一部分，可能是為了增強(qiáng)其性能后來(lái)添加的。該漏洞中嵌入的shell代碼僅僅是下一階段的下載程序。成功利用后，它將在以下URL檢索其payload：

這個(gè)擴(kuò)展名為.wasm文件，偽造成一個(gè)Web Assembler模塊。但事實(shí)上，它是完全不同的東西。

正如你所看到的，它加載了用于解壓縮cabinet文件的Cabinet.dll模塊。在后面的部分中，我們看到了用于通過(guò)HTTP協(xié)議進(jìn)行通信的API和字符串。我們還發(fā)現(xiàn)了對(duì)“dllhost.exe”和“bin/i386/core.sdb”的引用。

我們很容易猜到這個(gè)模塊將下載并利用dllhost.exe來(lái)運(yùn)行。而另一個(gè)字符串Base64編碼的內(nèi)容為：

將其解碼后的內(nèi)容展現(xiàn)了更多的網(wǎng)址：

http://103.35.72.223/git/wiki.asp?id=530475f52527a9ae1813d529653e9501
http://103.35.72.223/git/glfw.wasm
http://103.35.72.223/rt/lsv3i06rrmcu491c3tv82uf228.wasm

看看Fiddler捕獲的流量，我們發(fā)現(xiàn)其模塊確實(shí)在查詢(xún)這些URL：

請(qǐng)求來(lái)自dllhost.exe，這可能意味著上面的可執(zhí)行文件已經(jīng)被注入惡意代碼。文件glfw.wasm與Web Assembly之間沒(méi)有任何共同之處。事實(shí)上，它是一個(gè)Cabinet文件，包含內(nèi)部路徑下的打包內(nèi)容：bin/i386/core.sdb。從內(nèi)部看，我們發(fā)現(xiàn)了相同的自定義可執(zhí)行格式，比如DLL名稱(chēng)：

然后另一個(gè)問(wèn)題是參與者可能試圖通過(guò)假裝使用SLTP協(xié)議來(lái)檢索實(shí)際payload來(lái)隱藏流量，這可以在從核心內(nèi)部的Cabinet文件中提取的字符串core.sdb中發(fā)現(xiàn)這一點(diǎn)：

INSTALL_SOURCE
&sid=%u
INSTALL_SID
INSTALL_CID
sltp://setup.gohub[.]online:1108/setup.bin?id=128
ntdll.dll
ZwQueryInformationProcess
VolumeNumber
SCSIDISK
os=%d&ar=%d
kernel32.dll
IsWow64Process
RtlGetNtVersionNumbers
%02x
&sz=
sltp

該主機(jī)名解析為67.198.208[.]110：

Pinging setup.gohub.online [67.198.208.110] with 32 bytes of data:
Reply from 67.198.208.110: bytes=32 time=76ms TTL=51

來(lái)自沙盒計(jì)算機(jī)的加密TCP網(wǎng)絡(luò)流量顯示了如何檢索二進(jìn)制的payload：

可見(jiàn)整個(gè)payload開(kāi)發(fā)和檢索過(guò)程相當(dāng)復(fù)雜，如果考慮到活動(dòng)背后的目的是用來(lái)開(kāi)采加密貨幣時(shí)，那么也不難想到：

這個(gè)礦機(jī)的獨(dú)特之處在于，它通過(guò)使用bootkit實(shí)現(xiàn)持久性，如本文所述。受感染的主機(jī)將修改其主引導(dǎo)記錄，以便在每次操作系統(tǒng)啟動(dòng)時(shí)啟動(dòng)礦機(jī)。

簡(jiǎn)單payload的復(fù)雜攻擊

這種攻擊在許多方面上都很有意思，因?yàn)樗诼┒蠢媒桓恫糠种惺褂昧瞬煌募夹g(shù)以及不同的打包payload技術(shù)。因此我們認(rèn)為它集中在少數(shù)幾個(gè)亞洲國(guó)家，不僅如此，它還表明威脅行動(dòng)者并沒(méi)有完全放棄exploit kits，盡管在過(guò)去幾年有明顯的下降趨勢(shì)。

IOC

受污染的交友網(wǎng)站

144.202.87[.]106

exploit kits

103.35.72[.]223

52he3kf2g2rr6l5s1as2u0198k.wasm

087FD1F1932CDC1949B6BBBD56C7689636DD47043C2F0B6002C9AFB979D0C1DD

glfw.wasm

CCD77AC6FE0C49B4F71552274764CCDDCBA9994DF33CC1240174BCAB11B52313

Payload URL 和 IP

setup.gohub[.]online:1108/setup.bin?id=128
67.198.208[.]110

Miner Proxy

133.130.101[.]254

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對(duì)創(chuàng)新互聯(lián)的支持。

文章標(biāo)題：HiddenBee是如何利用新型漏洞進(jìn)行傳播
網(wǎng)頁(yè)路徑：http://www.rwnh.cn/article4/gcgeoe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、移動(dòng)網(wǎng)站建設(shè)、標(biāo)簽優(yōu)化、自適應(yīng)網(wǎng)站、搜索引擎優(yōu)化、服務(wù)器托管

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)