Miniduke:基于Web的感染机制
非官方中文译本•安天技术公益翻译组 译注
| | Miniduke: web based infection vector | | | | | | | | | | | | | | | | 本译文译者为安天实验室工程师,本文系出自个人兴趣在业余时间所译,本文原文来自互联网的公共方式,译者力图忠于所获得之电子版本进行翻译,但受翻译水平和技术水平所限,不能完全保证译文完全与原文含义一致,同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。 本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。 译者与安天实验室均与原作者与原始发布者没有联系,亦未获得相关的版权授权,鉴于译者及安天实验室出于学习参考之目的翻译本文,而无出版、发售译文等任何商业利益意图,因此亦不对任何可能因此导致的版权问题承担责任。 本文为安天内部参考文献,主要用于安天实验室内部进行外语和技术学习使用,亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿,不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文,因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为,及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的,基于上述问题产生的法律责任,译者与安天实验室一律不予承担。 |
|
|
|
|
|
|
我们与合作伙伴CrySyS Lab协作,发现了两个Miniduke之前未被知晓的感染机制。这些新的感染途径依赖于Java和IE漏洞进一步感染受害者PC。
我们通过感染Miniduke的一个C&C服务器发现,这些文件没有关联到该C&C的代码,更像是准备好感染访问带有漏洞的网页的受害者。
hxxp://[c2_hostname]/groups/business-principles.html 作为攻击的起始点,包括两个框架:一个用于从合法网站下载诱饵页面(从 http://www.albannagroup.com/business-principles.html 复制得来);另一个用于执行恶意活动( hxxp://[c2_hostname]/groups/sidebar.html)。
第二个页面是"sidebar.html",包含88行代码,大部分是Java脚本,并作为原始的开发包。这些代码可识别受害者浏览器,随后挖掘一两个漏洞。该页面还会通过发送POST请求至"hxxp://[c2_hostname]/groups/count/write.php"将收集到的浏览器数据发送至另一个脚本。
这些漏洞分布在单独的页面里。使用IE8的客户访问的是"about.htm",对于其他版本的浏览器或能够运行Java小程序的任何其他浏览器,该Java脚本均加载"JavaApplet.html"页面。
JavaScript 代码内部的sidebar.html页面
第一章 Java漏洞
"JavaApplet.html"页面加载"JavaApplet.class",该页面通过最近发现的漏洞CVE-2013-0422实现一个Java漏洞。该漏洞的代码与已经公开的Metasploit kit中的某个漏洞的代码极为相似,但其内部禁用安全管理器的类却用不同的代码编写,这样做的目的很可能是为了躲避检测。根据该服务器的HTTP头数据显示,这个小应用程序的上传日期为2013年2月11日,即Metasploit的代码被公布一个月之后,也是Oracle发布关于该漏洞的安全警报的前两天。
HEAD /groups/JavaApplet.classHTTP/1.1Host: [c2_hostname]HTTP/1.1 200 OKServer:Microsoft-IIS/5.0X-Powered-By: ASP.NETDate: Fri, 08 Mar 201306:18:04 GMTContent-Type:application/octet-streamAccept-Ranges: bytesLast-Modified: Mon, 11Feb 2013 09:50:31 GMTETag:"f794173b3d8ce1:e96"Content-Length: 52408
该Java的shellcode是一个有效的载荷,包含一个十六进制编码的Win32 DLL文件。它解码这个二进制文件并将其命名为"ntuser.bin"写入一个Java的临时目录。随后它拷贝系统文件"rundll32.exe"至该目录,并将其命名为ntuser.exe",然后将"ntuser.bin"作为一个参数运行该系统文件,进而有效地加载恶意DLL文件。这个DLL文件就是Miniduke的主模块,它通过URL http://twitter.com/TamicaCGerald获取指令。
带有MiniDuke指令的推文 (解码指令URL: hxxp://www.artas.org/web/) 第二章 IE8漏洞
"about.htm"页面实现一个微软IE8漏洞。它利用的是2012年12月末发现的漏洞CVE-2012-4792。其代码与Metasploit漏洞版本极为相似,但shellcode的有效载荷部分则是Miniduke作者重新利用该后门的代码编写得来。Metasploit代码公开于2012年12月29日,并在2013年1月14日得到官方修复补丁(MS13-008),而具有该漏洞的页面被上传于2013年2月11日。
EAD /groups/about.htmHTTP/1.1 Host: [c2_hostname]
HTTP/1.1 200 OK Server:Microsoft-IIS/5.0 X-Powered-By: ASP.NET Date: Fri, 08 Mar 201306:49:33 GMT Content-Type: text/html Accept-Ranges: bytes Last-Modified: Mon, 11Feb 2013 09:50:47 GMT ETag:"b98150443d8ce1:e96" Content-Length: 3842
该shellcode旨在从URLhxxp://[c2_hostname]/groups/pic.gif下载一个GIF图像文件,随后搜索并解密其中包含的隐藏的PE文件。该PE文件看似是Miniduke主后门模块的一个修改版本,但它使用相同的Twitter URL作为Java有效载荷。
第三章 小结
我们发现并分析了两个新的被用于MiniDuke攻击的感染方法。虽然在发现攻击的第一时间就发布了这些漏洞,但它们还是比较新的并且能够用于攻击指定目标。如之前的建议一样,广大用户需及时更新Windows、Java 和AdobeReader至最新版本,以便应对来自Miniduke的攻击。当然,不排除存在其他感染方法的可能;我们会继续监控Miniduke的行为进展并适当更新博客内容。
安天公益翻译(非官方中文译本):
Miniduke基于Web的感染机制[非官方中文译本 • 安天技术公益翻译组译].pdf
(359.04 KB, 下载次数: 82)
| 
发表于 2015-9-18 11:15
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡