安全路透社
当前位置:安全路透社 > 安全客 > 正文

【木马分析】360追日团队: 暗号“戒烟”:Terror EK集合八枚漏洞发起挖矿机挂马进攻

http://p5.qhimg.com/t01b0653a4fa6266554.jpg

一、概述


近期,360安全团队监测到一个利用漏洞攻击包Terror Exploit Kit(简称TerrorEK)散播门罗币挖矿软件的挂马行为,通过内嵌作者的门罗币地址,将用户的机器强占为自己挖矿赚钱的工具。

这是我们近期在国内发现TerrorEK的传播记录,360第一时间发现并进行分析,该TerrorEK除了集成了多个常见的IE和Flash漏洞以外,还加入了最新的IE漏洞组合CVE-2017-0037CVE-2017-0059,有着更高的攻击成功率。经过我们的测试,现有的360安全卫士防御体系早已能够给用户提供多层次保护,抵御此类挂马攻击。

TerrorEK于2016年底出现,作者有时候也会使用Blaze、Neptune、Eris等名字来作为贩卖名称,作者在Twitter上的发言宣称该攻击包包含多个浏览器的不同漏洞[1],本次发现的攻击页面包含了近几年常见的针对IE浏览器主流漏洞。


二、挂马分析


通过我们的来源追溯,发现此次攻击行为仍然是采用广告挂马的形式。攻击者躲避了在线广告运营商的审查上线了挂马页面,并选择在色情网站上线展示,使得大量的用户在访问时遭受到了恶意攻击。这种方式低成本高回报,能够迅速的进行大范围攻击,因此被越来越多的攻击者所选择[2]。

图19 算力变化


四、总结


这次攻击者释放的是挖矿软件,随着近期比特比等电子货币价格高涨,越来越多的攻击者选择挖矿攻击,相比之前的勒索软件,挖矿软件更能够提供持续的产出,并且在当前高涨的电子货币价格下显得越来越划算。

这次挂马是我们监测到的同时利用漏洞最多的挂马攻击事件,攻击者通过多个漏洞的混合攻击能够有效的提供攻击成功率,这些漏洞大多数已经被修复,用户只要及时给系统打补丁并更新Flash到最新版本就可以免受攻击,而360安全卫士也会从多个层次对网页挂马进行防御,对已知和未知漏洞进行有效拦截,确保用户电脑安全。

本文由360 QEX团队和追日团队合作完成。


五、IOC信息


C2:

hxxp://newtryguys.win/
hxxp://shadowaproch.win/
hxxp://thenewthing.online/
hxxp://meemsaas.site/
hxxp://sossen.site/
hxxp://bumdid.site/
hxxp://youhap.online/

MD5:

bc2ae675e7fbc01a50b424d7c243fd9a hyefhqg6btgi.swf
c5c987b04916fef4ad283b1cb3c21191 ydfxe5glulrr.swf
28cfddc186a3b455dfa46261677373a1 y8tvhog8nvkb.swf
2C812EEB662E23546C3A135CD6391CB4 iedhebgc.exe
F3C8A3F61A15C05BC0DE9D60119C56D8 A3F5.tmp.exe

参考文献


[1] Terror Exploit Kit? More like Error Exploit Kit https://www.trustwave.com/Resources/SpiderLabs-Blog/Terror-Exploit-Kit–More-like-Error-Exploit-Kit/ 

[2] Hiking Club Malvertisements Drop Monero Miners Via Neptune Exploit Kit https://www.fireeye.com/blog/threat-research/2017/08/neptune-exploit-kit-malvertising.html 

[3] 钓鱼工具包(EK)支持CVE-2015-2419漏洞 http://bobao.360.cn/learning/detail/577.html 

[4] Smoke Loader Adds Additional Obfuscation Methods to Mitigate Analysis https://info.phishlabs.com/blog/smoke-loader-adds-additional-obfuscation-methods-to-mitigate-analysis 

[5] Experts from Talos Team discovered changes made to the Terror exploit kit (EK) that allow it to fingerprint victims and target specific vulnerabilities. http://securityaffairs.co/wordpress/59321/malware/terror-exploit-kit-fingerprinting.html 


本文地址:http://bobao.360.cn/learning/detail/4407.html

未经允许不得转载:安全路透社 » 【木马分析】360追日团队: 暗号“戒烟”:Terror EK集合八枚漏洞发起挖矿机挂马进攻

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册