欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

Capesand破绽应用套件

b9e08c31ae1faa592019-12-1084漏洞

2019年10月,研究人员发清楚明了一个新的破绽运用套件——Capesand。Capesand会运用Adobe Flash和IE近来的破绽。研究人员剖析发明,该破绽运用套件还运用了一个IE浏览器中的一个2015年的破绽。该破绽运用套件背地的犯罪分子依然再不断开发和完美该套件,还重用了之前的破绽运用套件代码。

简介

2019年10月中旬,研究人员发清楚明了一个运用Rig破绽运用套件流传DarkRAT和njRAT歹意软件的歹意软件广告运动。10月尾,研究人员注意到该歹意广告运动中发生了一些变化,重定向不再转到Rig破绽运用套件。犯罪分子入手下手加载一个新的破绽运用套件,研究人员进一步剖析发明,有一个名为Capesand的面板向客户供应破绽运用套件。

Capesand破绽应用套件  漏洞 第1张

图 1. Capesand破绽运用套件面板

Capesand破绽应用套件  漏洞 第2张

图 2. Capesand破绽运用套件流量模子

与其他破绽运用套件代码比拟,Capesand破绽运用套件的代码异常简朴。Capesand的一切功用险些都重用了开源代码,包含破绽运用、殽杂和打包手艺。研究人员进一步检测发明,虽然该套件彷佛还未完成,但运用的用户彷佛许多。

歹意广告运动剖析

研究人员观察到的歹意广告运动是直接从广告网络到受害者浏览器的,展现的一个关于区块链的议论博客。研究人员搜检该页面的代码表明这实际上是捏造的,由于它是网站拷贝东西HTTrack拷贝的一个页面。页面中含有用来加载破绽运用套件的隐蔽的iframe。

Capesand破绽应用套件  漏洞 第3张

图 3. 含有复制的区块链博客的歹意广告

在10月中的进击中,隐蔽的iframe会加载Rig破绽运用套件。到10月尾,iframe加载项变成了landing.php,指向的是统一服务器上的一个未知的破绽运用套件。

Capesand破绽应用套件  漏洞 第4张

Capesand破绽应用套件  漏洞 第5张

图 4.重定向到Rig破绽运用套件(上)和Capesand破绽运用套件(下)的隐蔽iframe

Capesand破绽运用套件运动

Capesand面板用来搜检破绽运用套件运用的状况。运用破绽运用组件的进击者也能够下载在服务器上布置的前端源代码。研究人员该进击运动中有捏造的区块链广告。研究人员剖析前端源代码发明它看起来与一个名为Demon Hunter的破绽运用套件异常相像,因而研究人员以为Capesand多是来源于它。

破绽运用套件升级了一些新的破绽。比方,CVE-2019-0752就是本年Trend Micro新发明的破绽。该破绽运用套件也运用了该破绽。研究人员还发明该破绽被用于一个流传SLUB歹意软件的水坑进击运动中。

Capesand破绽应用套件  漏洞 第6张

图 5. 搜检IE版本和加载CVE-2018-8174或CVE-2019-0752破绽运用的Capesand加载页剧本

 
国家级黑客构造“海莲花” 攻下宝马,汽车工业成APT新目标 【导读】据外媒报道,有着国家级背景的黑客组织成功渗透了宝马计算机网络。据专家分析,攻击者所使用的工具及其行为均指向越南APT组织“海莲花”。如情况属实,那么,继关键基础设施之后,汽车工业也成为国家级APT组织的重点攻击目标。 汽车工业也惨遭黑客“毒手”,今年6月宝马公司被迫进行了脱网 据报道,针对德慕尼黑宝马汽车公司的攻击始于2019年春。6月份时,该公司将有关计算机进行了脱网。在近期的一次采访中,宝马相关负责人表示: “我们已经对结构和流程进行了进一步防范,可以最大程度减少未经授权的外部人士访问我们系统的风险,同时,在发生某些事件时,我们能快速进行检测、重建和恢复。” 值得注意的是,我们发现针对

但前端破绽运用套件源码包中并不含有其破绽运用。尤其是一些破绽运用套件已将源代码包含在破绽运用中了。在Capesand中,每当运用套件要流传破绽运用时,就需要发送一个到Capesand服务器API的要求来吸收要求的破绽运用payload。这多是为了确保破绽运用组件不会很容易地分享。

API要求是由受害者的以下信息构成的:

· 要求的破绽运用名

· 设置中的运用URL

· 受害者IP地点

· 受害者浏览器用户代办

· 受害者的HTTP参考

上面提到的一切信息都是用AES加密的,个中API key位于设置文件中。Capesand服务器吸收到要求后,会考证是不是有有用的API key来加密要求。还会猎取用户运用的破绽运用套件的信息,并网络受害者信息作为统计数据。然后,会将破绽运用套件payload转给前端破绽运用套件,然后流传给受害者。

Capesand破绽应用套件  漏洞 第7张

图 7. 要求破绽运用payload到API服务器的Capesand破绽运用套件源码

研究人员还发清楚明了两个运用Adobe Flash破绽CVE-2018-4878和CVE-2018-15982的运用。但研究人员没有看到源码中有IE破绽CVE-2019-0752的运用。因而,研究人员以为该套件仍在开发中。

Capesand破绽应用套件  漏洞 第8张

图 8. 含有兵器化shellcode的CVE-2015-2419破绽运用组件

Capesand破绽应用套件  漏洞 第9张

图 9. 在受害者机械上实行的兵器化的shellcode

Capesand进击链

经由过程Capesand胜利运用后,第一阶段是下载mess.exe并尝试运用CVE-2018-8120破绽来提拔权限,然后实行njcrypt.exe。njcrypt二进制文件是一个多层殽杂的.net运用,而且殽杂也运用的是公然的东西。样本实行流传的payload njRAT版本为0.7d。下图说清楚明了含有简化的反殽杂层的完全进击流:

Capesand破绽应用套件  漏洞 第10张

图 10.运用CVE-2015-2419的Capesand 进击链

图片SV VORWARTRS WIEN 2016 是 NvidiaCatalysts.dll中的一个实在图片。njRAT 0.7d是一个开源的njRAT版本。

CyaX_Sharp.dll模块生成了一个设置文件来纪录受感染机械的设置,再设置文件的建立过程当中,会搜检是不是有ESET。

Capesand破绽应用套件  漏洞 第11张

图 11. CyaX_Sharp搜检是不是安装了ESET

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/new-exploit-kit-capesand-reuses-old-and-new-public-exploits-and-tools-blockchain-ruse/

网友评论