在上个月,网络安全公司趋势科技( Trend Micro)发现了一种能够利用Adobe Flash和IE浏览器最新漏洞的新型漏洞利用工具包,名为“Capesand”。
分析显示,Capesand集合了大量在网上就可以找到的漏洞利用代码,其中一个IE浏览器漏洞甚至是在2015年被公开披露的,距今已近5年的时间。
发现过程
在10月中旬,趋势科技发现了一场利用Rig漏洞利用工具包来传递DarkRAT和njRAT恶意软件的恶意活动。
但到了10月底,重定向不再指向Rig漏洞利用工具包,而是一种此前从未被公开披露过的漏洞利用工具包——Capesand。
图1. Capesand漏洞利用工具包面板
图2. Capesand漏洞利用工具包的流量模式
与其他工具包相比,Capesand漏洞利用工具包的代码非常简单,几乎全都是从网上复制过来的,就连混淆和打包技术也都是直接照搬。
恶意活动
恶意网站伪装成一个讨论“区块链”的博客网站,但实际上包含一个隐藏的iframe,用于加载漏洞利用工具包。
图3.恶意网站页面
在10月中旬,隐藏的iframe加载的是Rig漏洞利用工具包。到了10月底,iframe被更改为了加载“landing.php”——托管在同一台服务器上的Capesand。
图4.隐藏的iframe重定向到Rig漏洞利用工具包(上)和Capesand漏洞利用工具包(上)
Capesand漏洞利用工具包
通过Capesand的面板,攻击者可以下载前端源代码、部署自己的服务器,以及查看当前的使用状态。
前端源代码看上去与被命名为“Demon Hunter”的老旧漏洞利用工具包的源代码非常类似,这使得趋势科技相信它很有可能就是Capesand的前身。
除了能够利用Adobe Flash漏洞CVE-2018-4878以及IE浏览器漏洞CVE-2018-8174之外,Capesand还能够利用CVE-2019-0752,这是一个在今年4月份才被公开披露的IE浏览器漏洞。
图5.Capesand登录页面脚本检查IE版本并加载CVE-2018-8174漏洞利用代码或CVE-2019-0752漏洞利用代码
图6. Capesand登录页面脚本检查Flash版本并加载CVE-2018-4878漏洞利用代码
随着调查的深入,趋势科技还发现了一个能够利用IE漏洞CVE-2015-2419的Capesand版本。
图7.携带恶意shellcode的CVE-2015-2419漏洞利用代码
图8.在受感染计算机上执行的恶意shellcode
Capesand攻击链
通过Capesand成功利用漏洞之后,第一阶段将下载mess.exe并尝试利用CVE-2018-8120升级特权,然后执行njcrypt.exe以释放最终有效载荷(如njRAT)。
图9.Capesand攻击链(CVE-2015-2419)
模块CyaX_Sharp.dll会生成一个配置文件来跟踪受感染计算机的配置,并检查杀毒软件ESET是否存在。
图10. CyaX_Sharp.dll检查杀毒软件ESET是否存在
结论
尽管Capesand漏洞利用工具包目前仍处于开发阶段,但已经具备了能够入侵目标计算机的能力,且试图通过蹭一些社会热点(如“区块链”)来吸引更多的受害者。
此外,尽管它利用的都是一些已知漏洞,但通过检查一些杀毒软件的存在,仍能够将检出率控制在最低。
閱讀更多 黑客視界 的文章
