利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动

栏目: 编程工具 · 发布时间: 5年前

内容简介:2018年6月腾讯御见威胁情报中心曾监控到刷量神器“流量宝流量版”,在运行时自动请求带有浏览器高危漏洞(编号:CVE-2018-8174)的攻击页面,并在漏洞攻击成功后植入DDoS木马、远程控制木马、挖矿木马等。攻击造成约10万台计算机中招,其中不乏使用流量宝流量版来刷量的自媒体、视频网站主播、电商刷量团伙。1月8日,腾讯御见威胁情报中心再次监控到流量宝流量版故技重施,利用该软件内嵌的Flash组件进行网页挂马攻击,本次攻击已有3000-5000台电脑中招,腾讯电脑管家已全面拦截。受害者集中在使用刷量工具的

一、背景

2018年6月腾讯御见威胁情报中心曾监控到刷量神器“流量宝流量版”,在运行时自动请求带有浏览器高危漏洞(编号:CVE-2018-8174)的攻击页面,并在漏洞攻击成功后植入DDoS木马、远程控制木马、挖矿木马等。攻击造成约10万台计算机中招,其中不乏使用流量宝流量版来刷量的自媒体、视频网站主播、电商刷量团伙。

1月8日,腾讯御见威胁情报中心再次监控到流量宝流量版故技重施,利用该软件内嵌的Flash组件进行网页挂马攻击,本次攻击已有3000-5000台电脑中招,腾讯电脑管家已全面拦截。受害者集中在使用刷量 工具 的人群,包括视频网站刷量、自媒体文章刷量、网店刷量、短视频刷热点等等领域。

攻击页面包含攻击者精心构造的Flash漏洞(CVE-2018-15982)攻击文件(apt.swf),该Flash文件在较低版本的Adobe Flash Player程序运行时会触发漏洞导致任意代码执行。漏洞攻击成功后会进一步植入“大灰狼”远程控制木马,致使中招电脑被完全控制,进而导致系统信息被搜集、重要资料泄露、电脑上的一切操作均被监控,攻击者还可以利用中毒的肉鸡电脑对其他系统发起进一步的攻击。

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动

木马攻击流程

二、漏洞攻击

流量宝流量版.exe

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动 运行流量宝刷量版之后,会自动访问xxx,触发漏洞文件apt.swf。

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动 分析发现,apt.swf包含攻击者精心构造的Adobe Flash Player 

最新漏洞(漏洞编号CVE-2018-15982)攻击代码,Adobe官方在2018年12月05日公布了该漏洞及修复建议。

该漏洞是flash包com.adobe.tvsdk.mediacore.metadata中的一个UAF漏洞,利用该漏洞攻击可导致任意代码执行,漏洞影响版本为Adobe Flash Player <= 31.0.0.153。

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动 漏洞攻击成功后会执行命令mshta http://bcaou.cn/a.hta

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动 随后a.hta脚本利用powershell下载大灰狼远程控制木马a.exe保存到c:\windows\temp\a.exe并拉起执行。

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动

三、“大灰狼”远程控制木马

漏洞攻击后执行的a.exe是大灰狼远程控制木马母体,启动后拷贝自身到目录C:\Program Files (x86)\Microsoft Whmfyw\Whmfywy.exe并执行。

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动 通过CreateFileA判断远程控制木马DLL文件NetSyst.dll是否存在

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动 不存在则下载hxxp://bcaou.cn/NetSyst.dll

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动 验证获取到的DLL文件是否具有标记“2015-SV8”。

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动 验证通过则通过内存加载PE执行远程控制木马主体。

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动 木马上线后连接C2地址qll1.net

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动 然后根据返回的命令执行多种远程控制功能:

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动 木马具有以下功能

查看本机信息,查看本机注册表,查看本地硬盘,上传、下载文件,删除文件,清除系统记录,查看系统服务,运行程序,结束程序,及其3389远程桌面多用户登陆,记录键盘等一系列远程控制功能。

“大灰狼”远程控制木马的功能详细分析可参考:https://mp.weixin.qq.com/s/IbB67BWbvgvKaV-Q1ZfbxA

四、安全建议

1、升级Adobe Flash Player到较高版本,具体可参考Adobe官方公告:

https://helpx.adobe.com/security/products/flash-player/apsb18-42.html

2、谨慎使用“刷量”类软件,该类软件在使用时会大量访问未经过审核检验的广告URL,导致可能访问到包含恶意代码的地址。

3、使用腾讯电脑管家拦截病毒木马攻击。

利用最新Flash漏洞,通过“流量宝”对流量从业者的攻击活动 IOCs

域名:

bcaou.cn

qll1.net

URL

hxxp:// bcaou.cn/apt.swf

hxxp://bcaou.cn/a.hta

hxxp://bcaou.cn/a.exe

hxxp://bcaou.cn/NetSyst.dll

md5

36e8fce77217b40026c643fa0ff37f14

daf385091f17796b59a6ea1145846dda

8c19d83ff359a1b77cb06939c2e5f0cb

声明:本文来自腾讯御见威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

What Technology Wants

What Technology Wants

Kevin Kelly / Penguin Group (USA) Incorporated / 2010-10-14 / USD 27.95

A refreshing view of technology as a living force in the world. This provocative book introduces a brand-new view of technology. It suggests that technology as a whole is not a jumble of wires and ......一起来看看 《What Technology Wants》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具