Sundown进击套件的晋级 | 申博官网
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

Sundown进击套件的晋级

Sunbet_新闻事件 申博 265次浏览 已收录 0个评论

Exploit Kit行业如今正在发作新的调解,本来许多具有进击性的破绽进击套件或许消逝,或许市场份额削减,好比Nuclear EK和AnglerEK如许的行业大鳄险些在同一时刻消逝了,我们推想这能够与相干的俄罗斯黑客构造被捕有关。

如今网络上,被黑客应用最多的是Neutrino,RIG和Sundown,它们被用于讹诈软件流传等黑客进击。

正在举行的晋级

好比,为了进步进击效力,Sundown的开辟职员曾将控制面板和DGA算法局部外包给了一家叫做”YBN(Yugoslavian Business Network)”的构造,同时他们还移植了大批其他套件内里的破绽应用代码。

Sundown包罗了从Angler中移植的CVE-2015-2419代码,RIG的Silverlightexploit CVE-2016-0034,Hacking Team的CVE-2015-5119和Magnitude 的CVE-2016-4117。

甚么是Sundown?

Sundown是近两年才异军突起的破绽应用套件,填补了Angler和Nuclear这些大鳄的空白。早在2015年,平安研讨职员就已发明了Sundown,但事先Sundown还并非很起眼。如今跟着Sundown EK的鼓起,其开辟者也对这个套件举行了赓续的晋级,以赓续知足种种进击的需求。

但因为Sundown开辟时刻较短,还缺少其他大型破绽应用套件的复杂性,别的在其Sundown的进击代码中还涌现了许多简朴的,易于被检测到进击标识符,以是Sundown EK也在这些方面举行了大批的晋级。好比研讨者发明,近期Sundown已批量购置了许多到期的域名。

Sundown上岸页会举行简朴的阅读器状况搜检,分歧的状况实行分歧的payload,别的Sundown还曾应用了许多Adobe Flash的破绽。

直接接见Sundown上岸页会取得一个html页面,内里的数据解密后取得YBN构造的标记:

Sundown进击套件的晋级

YBN构造的标记,而不包罗歹意代码,只要要求中包罗特定HTTP Referer能力进击胜利。

Sundown进击套件的晋级

但因为这些移植曩昔的套件代码很轻易在HTTP标头和构造标识中被发明,而这些标识又是Sundown URL的用户用于常常阅读的。以是在曩昔几个月,这些移植曩昔的套件代码已被Sundown的研发职员删除。以下图所示,用于清晰辨认YBN的HTTP标头如今已没了

Sundown进击套件的晋级

本来能够辨认出YBN的版本

Sundown进击套件的晋级

如今没有YBN的上岸页版本

另外,若是用户实验阅读上岸页网址,那末他们将会取得“HTTP 404”如许的毛病提醒。然则,与上岸页有关的其他更重要的晋级正在举行中。以下是几个月前从Sundown看到的原始上岸页面。

Sundown进击套件的晋级

这与RIG进击套件有一些明显的相似之处,包孕一切运用基于base64编码的文本块的三个变量。这异常类似于RIG运用’s’变量,这些变量也触及检索歹意swf文件。除此之外,我们还发明了Sundown运用了几种其他范例的夹杂代码,个中包孕许多分歧的字符。下面的例子显现了运用ASCII chr()语法来作为殽杂形式,这些都是在检察殽杂代码时发明的罕见手艺。

Sundown进击套件的晋级

本来的上岸页有许多转变,第一个转变能够在上面这个图中看到。Sundown的研发者如今已对许多个移植曩昔的标识符举行了修正,好比,运用’s’变量已被替换为随机字符串了。

Sundown进击套件的晋级

从上图中,我们能够看到运用ASCII chr()的字符已被替换成十六进制的了,近来的Sundown上岸页的相干代码中有许多解释。

Sundown进击套件的晋级

Sundown已最先运用Lorem Ipsum的文本。 Lorem Ipsum是一篇常用于排版设想范畴的拉丁文文章,重要的目的为测试文章或笔墨在分歧字型、版型下看起来的结果。基本上,Sundown上岸页面充满了随机的笔墨批评,以进一步试图障碍剖析。

回到Sundown上岸页面的解码版本,我们能够看到与应用页面的URL构造相干的其他几个变动。之前,Sundown运用的是数字子文件夹(即’/ 12346 /’)和具有恰当扩大名的数字文件名(即’/496.swf’)。如今较新版本的Sundown对其举行了变动,下图就显现的是歹意Flash文件的个中一个要求。

Sundown进击套件的晋级

语法现已变动为仅运用数字字符串作为查询要求“/ 7 /”的子文件夹,一些要求还将包孕ID参数,另外,不再包罗扩大。如今,我们还没有发明任何Silverlight破绽,这表明Sundown已摒弃了试图应用Silverlight阅读器插件中的破绽。日前,许多应用Silverlight的对象已添加了一个基于公然PoC的Microsoft Edge破绽。因为在目的网页自身另有另一个PoC存在的破绽,以是这是Sundown中独一的阅读器破绽应用。

Sundown如今好像依然正在应用CVE-2016189,这是Internet Explorer和Windows的JScript和VBScript剧本引擎中的长途实行代码破绽。在我们对破绽套件上岸页的剖析中,发明了另一个编码的破绽应用页面。

Sundown进击套件的晋级

如上图所示,我们发明,日前Sundown的开辟者还在继承复制之前运用过的破绽PoC,个中就包罗CVE-2010189,不外,与PoC最大的分歧是包罗两个函数:overwrite2()和fire()。 fire()是从exploit()函数挪用的重要函数,替代了PoC中本来的“notepad.exe”的实行,而与此同时,fire()包罗了最先实行有用载荷下载并经由过程cmd.exe实行的代码。

Sundown进击套件的晋级

别的值得注重的是黑客借助Sundown来损坏体系,大多数破绽应用套件将实验在体系上破绽进击。一般我们会看到针对IE剧本的破绽和几个歹意的Flash文件,这类要领虽然异常混淆,然则也让Sundown成为黑客们的最好挑选。

有用载荷转变

我们在Sundown注重到的最大转变之一就是检索其有用载荷的体式格局,之前版本的Sundown将经由过程Web阅读器检索文件名为“z.php”的有用载荷,虽然新版本也要搜刮文件名为“z.php”的有用载荷,但取得有用载荷和有用载荷地位的要领都有所转变。

Sundown如今经由过程命令行并运用wscript来检索其有用载荷,类似于RIG-v以后检索其有用载荷的体式格局。这其实不新鲜,因为Sundown就是以 “借用”其他套件的手艺和要领而成长起来的。以下是两个cmd.exe的猎取要求,一个来自Sundown,一个来自RIG-v。在许多相似之处,代码都是一样的。明显,Sundown是从RIG-v套件移植曩昔的这局部代码。

Sundown进击套件的晋级

Sundown有用载荷

Sundown进击套件的晋级

RIG有用载荷

另一个转变是效载荷与用于检索登录和页面应用的效劳器的地位分开了,虽然两个效劳器同享一个配合的根域,但运用分歧的子域:

Sundown进击套件的晋级

不外如今,我们还没法接见Sundown的后端体系,没法肯定这些文件的泉源是不是雷同。然则,这是如今仅完成拆分效劳器运动的破绽套件。关于Sundown有用载荷的另一个注重事项是,它们不会被编码或加密(如上所示),这使得它们易于辨认和剖析。

Sundown进击套件的晋级

监控Sundown的运动

我们一直在剖析应用套件的运动,这个中也包孕Sundown的运动,在监测Sundown运动的同时,我们也发明了大批的域名基本设施,并最先深切观察。 Sundown运用域通配符来托管其运动而不是像Angler EK运用域名暗影(Domain Shadowing)手艺。域名暗影,是应用失贼的一般域名账户,大批建立子域名,从而举行垂纶进击。这类歹意进击手段异常有用,且难以抑止。因为你不晓得黑客下一个会运用谁的账户,以是险些没有设施去得悉下一个受害者。

影响到域内任何内容的一切流量,能够致使一切子域都最先向客户端重定向到歹意内容,比方,经由过程运用通配符,网站的通用子域名为“www”,此子域将受到影响,将重定向到歹意效劳器。因而,我们便最先寻觅受影响的子域,和它们之间的配合点。首先是与域名联系关系的注册人帐户运用的称号。在观察Sundown运动时,我们屡次运用称号“Stivie Malone” 帐户举行登录的,别的我们另有一个罕见的电子邮件地点是[email protected][.]com。异常风趣的一件事是,运用这个帐户的域名数目异常重大。一般,当我们正在运转用于歹意运动的注册人帐户时,只要一百个或更少与该帐户相干联的注册人。在域名暗影的状况下,注册人帐户若是遭到入侵,用户一般不相识该状况。跟着我们观察的继承深切,我们终究找到了一个正在应用gmail处理体式格局的注册人。应用这个电子邮件地点,我们发明了几个分歧的注册人账户被绑定到同一个@gmail[.]com帐户。以下是发明的“stiviemalone”注册人帐户的变体案例。

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

· [email protected]

· [email protected]

· [email protected]

· [email protected]

然后,我们最先运用称号“Stivie Malone”举行转移,并运用分歧的电子邮件地点找到第二个注册人帐户,该电子邮件地点也用于托管Sundown。该注册人与[email protected][.]com的电子邮件地点有关。经由观察,我们发明与[email protected][.]com相干的总共有3000多个域名。

基于这些信息,我们最先深切发掘这些注册用户怎样具有如许的非法运动域名,虽然域名注册商会对特定范例的TLD或其他域名举行促销,但是,我们所发明的这些域名是转移行动而不是购置行动。因而,我们最先研讨这个特定的用户名,本来这是一个域名转售网络,特地用来大批购置逾期或行将到期的域名。

域名转售

我们对这个特定演员的深切观察最先于大多数域名注册时所运用“Stivie Malone”的称号。因为这是一个新鲜的拼写称号,以是我们最最先的时刻,对其举行了一个简朴的Google搜刮。以下所示,Google搜刮顶部的结果与namepros [.]com绑定,该网站是域名转售网站。

Sundown进击套件的晋级

域名的转售是小我运用的罕见战略,实验从已注册的域名中猎取代价,迥殊是若是这些域名行将到期。在经销商不盘算续订的状况下,转售能够让他们从中取得一些剩余代价。因而,我们最先存眷与这个特定用户相干的运动,并发明了一些相干的帖子。

Sundown进击套件的晋级

如上图所示,这个用户就是在特地寻觅大批的域名,而且这些域名最幸亏godaddy注册过。再看下一个回帖。 

Sundown进击套件的晋级

在上图中,我们能够清晰的看到,第一个帖子中的那位买家表现出对godaddy和namecheap注册域名的迥殊偏好。另外,我们还能够从中看到这些域名的生意价钱在0.10美圆到0.60美圆之间,而且不论在何种状况下,所运用的付款体式格局都是比特币。这就是这是一个很有吸引力的生意渠道,购置者能够以很少的价钱来购置到足够多的可用于进击的域名。风趣的是,在其他一些帖子中,买家迥殊议论了只需要能运转一周的域名。

Sundown进击套件的晋级

这里我们发明了一个症结,若是买家购置域名的运动限期凌驾六个月,一些构造和手艺机构就会将其定位合法域,因为这些构造会将域的运用限期视为评价域的合法性的一种规范。比方,一些手艺机构会将在近来的X天注册的域默以为制止选项,而买家经由过程购置凌驾六个月的域名,就能够让进击者绕过这类制止选项。别的值得注重的是,这个买家并没有购置域名的特定时刻段,我们所找到的该用户运动,都是来自近来几个礼拜。

Sundown进击套件的晋级

依据这些信息,我们如今还没法肯定这些域购置是不是确切发作过。但是,在发掘注册人信息时,我们能够找到该用户购置大批域名的其他实例。近来的一个是在2017年完成的,在这几年里至少有500个域名被转移。但是这些被托管的域,恰是几天之前,我们所发明的Sundown运动的域。风趣的是,与该用户相干联的署名块显现了这些域能够碰到与其基本架构有关的题目。

Sundown进击套件的晋级

嗤笑的是,在我们与这个买家举行相同后,他居然宣称他们从来没有与从任何人发作过生意业务,他只说举行这类域名的生意是不道德的。应用破绽套件对这些域名举行的一些最罕见的有用载荷是举行讹诈和银行木马。

Sundown进击套件的晋级

我们还观察到这个买家试图在追求比特币和PayPal之间怎样举行金额转换的资助,看来这位买家正在实验设置托管效劳,他宣称在全部生意业务量中一共运用过70个比特币,并供应5%的转换佣金。

Sundown进击套件的晋级

正如我们在曩昔的域中发明的,托管歹意运动一般会在根域名上托管某种网页。关于这个买家也是云云,他好像特地针对某种默许的域名治理页面举行生意,以下所示。

Sundown进击套件的晋级

另外,我们还依据这个买家帖子中的电话号码,举行了一些相干性搜刮,发明它出如今一些重要的域名注册商网站上,好像是GoDaddy及其子公司的手艺支持号码。

Sundown的运动倏忽愈来愈隐藏

正在我们正在与GoDaddy协作来举行相干运动的观察时期,我们观察到这些域名的生意运动倏忽住手了,连来自Sundown的这些帐户的运动也住手了,我们注重到,买家已最先出卖这些之前运用的一些域名了。

Sundown进击套件的晋级

经由进一步观察,我们确切发明了别的的有关Sundown的运动,这些运动正托管在与之前雷同的购置曩昔的域名上。最新的Sundown已不再运用Stivie Malone的任何变体,并已转移到完整隐私保护形式。另外,他们不再应用GoDaddy,而是转移到欧洲之外的注册商。末了,我们还没有查到与现有域名贩卖有关的分外运动。以是到如今为止我们还没有设施晓得为何Sundown的运动倏忽愈来愈隐藏,但不论域名是不是与GoDaddy有关,都没法阻挠买家将之前的歹意域名转售给其他用户。

IP基本设施

在网络域架构数据后,我们最先剖析在这个运动中运用的IP基本构造。一般,我们看到的应用套件效劳器的运动时刻限期都迥殊短,一般不凌驾几天。这点很重要,因为效劳器能被疾速辨认和列入黑名单,并被域名供应商封闭。但Sundown EK 里的域名好像其实不遵照这个纪律,在某些状况下,效劳器往往会许可这些域名运转很长的时刻。

另外,Sundown EK的最新运动也显现了与曩昔应用套件运动雷同的特性,好比,某些域名供应商已被大批杠杆化,而且有一些IP地点好像是一个一连的地点块。这一般透露表现在效劳器被壅塞或封闭时,有买家购置了一组效劳器并从一个效劳器挪动到了另一个效劳器。以下是经由过程IP举行扭转的图例,类似于曩昔Angler破绽套件。

Sundown进击套件的晋级

反向绑定域名

IP地点,注重,IP地点都是从2016年12月下旬最先注册的:

· 93.190.143.211

· 188.165.163.229

· 188.165.163.228

· 188.165.163.227

· 188.165.163.226

· 93.190.143.201

· 88.99.41.190

· 93.190.143.186

· 93.190.143.185

· 88.99.41.189

· 93.190.143.82

· 94.140.120.233

· 109.236.88.87


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Sundown进击套件的晋级
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址