在2018年8月底，FireEye发现了一个新的漏洞利用工具包（EK），作为影响日本，韩国，中东，南欧和亚太地区其他国家用户的恶意广告活动的一部分。

该活动的第一个实例于2018年8月24日在域名finalcountdown [.] gq上观察到。总部位于东京的研究人员nao_sec于8月29日确定了此活动的一个实例，并在博客中将漏洞攻击套件称为Fallout Exploit Kit。作为研究的一部分，我们观察了与广告系列相关的其他域名、区域和有效载荷。除了nao_sec博客文章中提到的在日本传播的SmokeLoader，GandCrab勒索软件在中东传播，我们将在这篇博文中重点关注GandCrab。

如果用户配置文件与感兴趣的目标匹配，则Fallout EK提取用户浏览器配置文件指纹并传送恶意内容。如果成功匹配，则会将用户从真正的广告客户页面（通过多个302重定向）重定向到漏洞利用工具包登陆页网址。从合法域名、cushion domains，然后到漏洞利用工具包登陆页面的完整链如图1所示。

图1：Malvertisement重定向到Fallout Exploit Kit登录页面

主广告页面会在加载广告时预先缓冲区域名链接，并在浏览器中禁用JavaScript时使用<noscript>标记加载单独的链接（图2）。

图2：第一个广告页面中的内容

在此博文前面未提及的区域中，'link rel =“dns-prefetch”href“'标记具有不同的值，并且广告不会导致漏洞利用工具包。通过302的完整重定向链如图3,4和5所示

图3：302重定向到漏洞利用套件控制的缓冲服务器

图4：漏洞利用工具包登陆页面之前的另一个重定向

图5：用户到达漏洞攻击包登录页面之前的最后一次重定向

登陆页的URI不断变化，这是通用模式，使得依赖于基于特定模式检测的IDS解决方案变得更加困难。

根据浏览器/操作系统配置文件和用户的位置，广告活动要么使用漏洞利用工具包，要么尝试将用户重新路由到其他社交工程活动。例如，在美国完全修补的macOS系统上，恶意广告将用户重定向到类似于图6和图7中所示的社交工程。

图6：Mac用户的虚假AV提示

图7：虚假Flash下载提示

该策略与FireEye一段时间以来观察到的社交工程的兴起是一致的，其中不良攻击者使用它们来定位完全修补系统或任何因操作系统/软件配置文件不当引发漏洞利用的用户。在北美的许多社会工程活动中，此次活动所涉及的恶意重定向也被大量滥用。

FireEye动态威胁情报（DTI）显示，该活动已触发政府、电信和医疗保健行业客户的警报。

一、登陆页

最初，登陆页面仅包含VBScript漏洞（CVE-2018-8174）的代码。但是，后来添加了Flash嵌入代码，以便更可靠地执行有效载荷。

登陆页将VBScript代码保留为“<span>”标记中的Base64编码文本。它在页面加载时加载JScript函数，它解码下一阶段VBScript代码并使用VBScript ExecuteGlobal函数执行它（图8）。

图8：登陆页面的片段

图9显示了解码恶意VBScript代码的JScript函数。

图9：Base64解码函数

Flash嵌入代码位于'noscript'标记内，仅在禁用脚本时加载（图10）。

图10：Flash嵌入代码

解码的VBScript代码利用CVE-2018-8174漏洞并执行shellcode（图11）。

图11：解码的VBScript

shellcode在％temp％文件夹下载XOR的有效载荷，对其进行解密、执行（图12）。

图12：解密为4072690b935cdbfd5c457f26f028a49c的XOR二进制传输

二、有效载荷分析 (4072690b935cdbfd5c457f26f028a49c)

恶意软件包含PE Loader代码，用于初始加载和最终有效载荷执行（图13）。

图13：从PE加载程序导入解析程序

解压缩的DLL 83439fb10d4f9e18ea7d1ebb4009bdf7首先初始化一个指向恶意软件核心功能的函数指针结构（图14）。

图14：使用函数指针填充的核心结构

然后它枚举所有正在运行的进程，创建它们的crc32校验和，并尝试将它们与列入黑名单的校验和列表进行匹配。表1列出了校验和列表及其相应的进程名称。

表1：列入黑名单的校验和

如果有进程校验和匹配，则恶意软件进入无限循环，从此时起有效的变为良性（图15）。

图15：列入黑名单的CRC32检查

如果此检查通过，则会启动一个新线程，其中恶意软件首先获取“SeShutdownPrivilege”并检查其自己的映像路径、操作系统版本和体系结构（x86 / x64）。对于OS版本6.3（Windows 8.1 / Windows Server 2012），执行以下步骤：

· 获取SeTakeOwnershipPrivilege，并取得C:\Windows\System32\ctfmon.exe的所有权

· 如果在WoW64下运行，则通过Wow64DisableWow64FsRedirection禁用WoW64重定向，以便能够替换64位二进制文件

· 将C:\Windows\System32\ctfmon.exe替换为自身副本

· 检查ctfmon.exe是否已在运行。如果没有，通过注册表项\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run将其自身添加到启动

· 调用ExitWindowsEx重启系统

在其他OS版本中，执行以下步骤：

· 获取SeTakeOwnershipPrivilege，并取得C:\Windows\System32\rundll32.exe的所有权

· 如果在WoW64下运行，则通过Wow64DisableWow64FsRedirection禁用WoW64重定向，以便能够替换64位二进制文件

· 将C:\Windows\System32\rundll32.exe替换为其自身的副本

· 通过注册表项\Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run其自身添加到启动

· 调用ExitWindowsEx重启系统

在任何一种情况下，如果恶意软件无法成功替换系统文件，它将在表2中列出的位置复制自身，并通过ShellExecuteW执行。

表2：备用路径

执行时，恶意软件会检查它是作为ctfmon.exe/rundll32还是表2中的可执行文件运行。如果此检查通过，则downloaded 分支开始执行（图16）。

图16：镜像路径检查后的downloader代码执行

创建互斥锁“Alphabeam ldr”以防止多次执行。此时解码有效载荷URL。编码数据通过mov操作复制到blob（图17）。

图17：正在复制编码URL

使用图18中所示的算法设置32字节XOR密钥。

图18：XOR密钥生成

最后，使用XMM寄存器及PXOR完成实际解码（图19）。

图19：有效载荷URL XOR解码

这为downloader switch循环执行提供了方法（图20）。

图20：响应/下载处理程序

表3显示了HTTP请求的细分、预期响应（其中body = HTTP响应主体）以及相应的操作。

表3：HTTP请求，响应和行为

请求序列导致GandCrab ransomware被恶意软件提取并手动加载到内存中。图21和图22显示了示例请求＃1和请求＃2，分别导致GandCrab（8dbaf2fda5d19bab0d7c1866e0664035）的下载和执行。

图21：请求#1从有效载荷URL获取初始命令序列

图22：请求#2下载手动加载到内存中的GandCrab勒索软件

三、总结Conclusion

近年来，地下行动的逮捕和破坏导致漏洞利用工具包活动严重下降。但是，漏洞利用工具包对未运行完全修补系统的用户构成了重大威胁。如今，我们在亚太地区看到了更多的漏洞利用工具包活动，用户往往拥有更多易受攻击的软件。与此同时，在北美，重点往往是更直接的社会工程活动。

FireEye Network Security会检测本文中提到的所有漏洞利用、社交工程活动、恶意软件以及命令和控制通信。多个FireEye产品中使用的MVX技术可检测本文中描述的第一阶段和第二阶段恶意软件。

IOC