NUCLEAR放置TOR隐蔽运行程序.PDFVIP

2 0 1 6 年 4 月 8 日，星期五 NUCLEAR 放置TOR 隐蔽运行程序 简介 对用户而言，漏洞攻击包是永恒的威胁。它们会通过恶意广告或存在威胁的网站等途径，每 天不断骚扰大量用户。Talos 把监控漏洞攻击包作为不变的主题，力求提供可靠的防护，在 出现变化时立即做出分析，并关注负载的改变。昨天，我们在Nuclear 漏洞攻击包中检测到 一种新技术，继而发现了前所未见的新负载和新手法。 详细信息 我们讨论Nuclear 已经有一段时间了，下面先来大致了解一下用户感染Nuclear 的方式。与 大多数漏洞攻击包一样，Nuclear 也包含若干关键组件：网关、登录页面，以及包含负载的 攻击页面。首先，我们来介绍我们一直在观察的与 Nuclear 相关的网关，特别值得注意的是， 该实例与一个新型负载相关联。 网关 我们所观察的特定感染始于一个存在威胁的网站。该网站中埋藏着多个javascript 行，如下 所示： 需要关注的是结尾的部分，这里存在对托管在googletrace.asia 上的其他脚本的调用指令。 网关通常会利用多个不同的混淆层，以便略微增加跟踪实际感染路径的难度，并隐藏网络攻 击者的真正意图。在对该页面发出访问请求后，便会看到熟悉的HTTP 代码： 这种手法称为“302 缓冲”，我们在Angler 等漏洞攻击包中已经见过。HTTP 302 在互联网 活动中十分常见，因此不难理解为什么网络攻击者开始利用它们来躲避检测。HTTP 302 在 互联网活动中十分常见，因此不难理解为什么网络攻击者开始利用它们来躲避检测。此302 后面会紧跟另一个302 ： 第二个302 重定向会转到Nuclear 登录页面。Nuclear 登录页面是极具混淆性的javascript ， 如下所示： 登录页面 在向用户显示登录页面后，攻击程序会探测用户的操作系统、Web 浏览器和插件。当这些数 据返回恶意服务器后，攻击程序会显示包含负载的漏洞攻击页面。在本特定示例中，攻击程 序会向用户发起针对Adobe Flash 漏洞的攻击。考虑到Adobe Flash 被漏洞攻击包以及最近 发布的零日漏洞选为攻击媒介，所以这不足为奇。向用户提供漏洞攻击页面（如下所示）后， 攻击程序会执行负载，此特定感染的独特之处正在于此。 攻击页面 负载 漏洞攻击包通常都会放置各种负载。迄今为止，最常见的是勒索软件。漏洞攻击包每天都会 向全球各地的用户发送各种形式的勒索软件。与放置Locky 或其他勒索软件变体的Nuclear 漏洞攻击包不同，此感染会放置适用于Windows 的Tor 客户端。然后，攻击程序会执行被巧 妙地命名为tor.exe 的文件。我们将开始看到系统通过Tor 提交请求，并下载辅助负载。通过 查看Tor 流量，我们可以找出网络流量中列出的多个域。这些域均未注册，而我们也无法找 出与之相关联的任何DNS 流量。而且，这些域似乎还包含2016 年和 2015 年的多个时间戳。 以下是显示此tor 活动的一些屏幕截图。 对漏洞攻击包而言，这确实是一个改变，因为它们过去放置的是可以通过所使用的C2 通信 轻松跟踪的恶意可执行文件。在本例中，攻击者利用Tor 来匿名最终的实际恶意负载，从而 增加了追溯托管系统的难度。 IOC 域 googletrace.asia （网关） lin.absorptionspbs.top IP 34 哈希值 8796955247DFCADDE58243D8CFDCB416B1B40F82A05FC87E803850 (tor.exe) 总结 在当前的漏洞攻击包环境下，所涉及的资金数量十分惊人。这些资金使网络攻击者有能力招 募职业开发团队，因此威胁形势会进一步恶化。本文讨论的实例便是近来 Nuclear 经过调整， 达到与Angler 等漏洞攻击包相同复杂程度的一个示例。随着网络攻击者能够越来越有效地传 输负载并避开安全设备，他们所获得的利润也会继续增加。这样一来，漏洞攻击包的发展就 会形成一个循环机制，就像勒索软件行业已经形成的循环发展体系一样。 在接下来的几周内，我们会陆续发布有关Nuclear 更多详情，敬请关注。我们还有更多精彩 内容与您共享！ 防护产品 我们一旦发现此类域，便会通过思科域信誉系统加以阻止，我们也会对常被漏洞攻击利用的 Flash 文件执行此处理。 如需获取有关最新规则的信息，请参阅防御中心、FireSIGHT 管理中心或S。 高级恶意软件防护(AMP) 解决方案可以有效防止执行威胁发起者使用的恶意软件。 CWS 或WSA 的网络扫描功能可以阻止