Sundown进犯套件的晋级

访客5年前黑客资讯935

Exploit Kit职业现在正在发作新的调整,原先许多具有进犯性的缝隙进犯套件或许消失,或许市场份额削减,比方Nuclear EK和AnglerEK这样的职业大鳄几乎在同一时刻消失了,咱们估测这可能与相关的俄罗斯黑客安排被捕有关。
现在 *** 上,被黑客运用最多的是Neutrino,RIG和Sundown,它们被用于勒索软件传达等黑客进犯。
什么是Sundown?
Sundown是近两年才异军突起的缝隙运用套件,填补了Angler和Nuclear这些大鳄的空缺。早在2019年,安全研究人员就现已发现了Sundown,但其时Sundown还并不是很起眼。现在跟着Sundown EK的鼓起,其开发者也对这个套件进行了不断的晋级,以不断满意各种进犯的需求。
但由于Sundown开发时刻较短,还缺少其他大型缝隙运用套件的复杂性,别的在其Sundown的进犯代码中还呈现了许多简略的,易于被检测到进犯标识符,所以Sundown EK也在这些方面进行了许多的晋级。比方研究者发现,近期Sundown现已批量购买了许多到期的域名。
正在进行的晋级
比方,为了进步进犯功率,Sundown的开发人员曾将控制面板和DGA算法部分外包给了一家叫做”YBN(Yugoslavian Business Network)”的安排,一起他们还移植了许多其他套件里边的缝隙运用代码。
Sundown包括了从Angler中移植的CVE-2019-2419代码,RIG的Silverlightexploit CVE-2019-0034,Hacking Team的CVE-2019-5119以及Magnitude 的CVE-2019-4117。
Sundown登陆页会进行简略的阅读器环境检查,不同的环境履行不同的payload,别的Sundown还从前运用了许多Adobe Flash的缝隙。
直接拜访Sundown登陆页会得到一个html页面,里边的数据解密后得到YBN安排的标志:

YBN安排的标志,而不包括歹意代码,只要恳求中包括特定HTTP Referer才干进犯成功。

但由于这些移植过来的套件代码很简单在HTTP标头以及安排标识中被发现,而这些标识又是Sundown URL的用户用于常常阅读的。所以在曩昔几个月,这些移植过来的套件代码现已被Sundown的研制人员删除了。如下图所示,用于清楚辨认YBN的HTTP标头现在现已没了。

原先能够辨认出YBN的版别

现在没有YBN的登陆页版别
此外,假如用户测验阅读登陆页网址,那么他们将会得到“HTTP 404”这样的过错提示。可是,与登陆页有关的其他更重要的晋级正在进行中。以下是几个月前从Sundown看到的原始登陆页面。

这与RIG进犯套件有一些明显的相似之处,包括一切运用根据base64编码的文本块的三个变量。这十分类似于RIG运用's'变量,这些变量也触及检索歹意swf文件。除此之外,咱们还发现了Sundown运用了几种其他类型的混合代码,其间包括许多不同的字符。下面的比方显现了运用ASCII chr()语法来作为混杂形式,这些都是在检查混杂代码时发现的常见技能。

原先的登陆页有许多改变,之一个改变能够在上面这个图中看到。Sundown的研制者现在现已对许多个移植过来的标识符进行了修正,比方,运用's'变量已被替换为随机字符串了。

从上图中,咱们能够看到运用ASCII chr()的字符已被替换成十六进制的了,最近的Sundown登陆页的相关代码中有许多注释。

Sundown现已开始运用Lorem Ipsum的文本。 Lorem Ipsum是一篇常用于排版规划范畴的拉丁文文章,首要的意图为测验文章或文字在不同字型、版型下看起来的作用。基本上,Sundown登陆页面充满了随机的文字谈论,以进一步企图阻止剖析。
回到Sundown登陆页面的解码版别,咱们能够看到与运用页面的URL结构相关的其他几个更改。曾经,Sundown运用的是数字子文件夹(即'/ 12346 /')和具有恰当扩展名的数字文件名(即'/496.swf')。现在较新版别的Sundown对其进行了更改,下图就显现的是歹意Flash文件的其间一个恳求。

语法现已更改为仅运用数字字符串作为查询恳求“/ 7 /”的子文件夹,一些恳求还将包括ID参数,此外,不再包括扩展。现在,咱们还没有发现任何Silverlight缝隙,这表明Sundown现已抛弃了企图运用Silverlight阅读器插件中的缝隙。日前,许多运用Silverlight的东西现已添加了一个根据揭露PoC的Microsoft Edge缝隙。由于在方针网页自身还有另一个PoC存在的缝隙,所以这是Sundown中仅有的阅读器缝隙运用。
Sundown现在好像依然正在运用CVE-2019189,这是Internet Explorer和Windows的 *** cript和VBScript脚本引擎中的长途履行代码缝隙。在咱们对缝隙套件登陆页的剖析中,发现了另一个编码的缝隙运用页面。

[1] [2] [3]  黑客接单网

相关文章

Burpsuit结合SQLMapAPI发生的批量注入插件(X10)

1.1变化: 添加过滤设置 优化显现成果 添加运转提示信息 添加域名正则匹配 整个插件分为三个面板:使命面板、sqlmapapi参数装备面板、过滤条件面板。 使命面板 Server : SQLmap...

鬼话蜜罐日志剖析

在布置蜜罐之后,会发作很多的日志,关于要挟情报而言,咱们需求经过这些日志来提取其间的有用的数据,本文将会描述提取那些数据用来完结剖析。 布置蜜罐之后会生成描述发作的事情的日志记载。能够收集到的安全事情...

好用的Google缝隙爬虫:Google Mass Explorer

这是一款根据谷歌搜索引擎的自动化爬虫。 爬虫介绍 爬虫大体机制便是: 先进行一次谷歌搜索,将成果解析为特定格局,然后再提供给exp运用。 我们能够测验运用–help来列出一切参数。 这个项目笔者会持...

网络爬虫暗藏杀机:在Scrapy中利用Telnet服务LPE-黑客接单平台

网络抓取结构中运用最多的莫过所以scrapy,但是咱们是否考虑过这个结构是否存在缝隙妮?5年前曾经在scrapy中爆出过XXE缝隙,但是这次咱们发现的缝隙是一个LPE。 经过该缝隙能够获得shell,...

怎么使用神经网络和Python生成指定形式的暗码

今日给咱们介绍的是Github上一个名叫PyMLProjects的项目,这个项意图意图是为了练习AI来学习人类结构暗码的形式,然后咱们就可以用AI来生成许多同一形式或品种的暗码了。这种办法或许可以用...

你的PoC和EXP可能得改改了-黑客接单平台

一、前语 在MySQL 5.7.5之前的所有主版别存在一个BUG,该或许导致影响POC/EXP需求从头编写或批改的问题。 BUG信息链接: https://bugs.mysql.com/bug.ph...