第一部分Exploit 基本原理

前言

一般的讲，犯罪组织使用两种方法传播恶意软件。最常使用的方法是发送垃圾邮件。这是比较直接的方式，通常恶意软件位于邮件附件或者正文的一个链接中。然而，发送垃圾邮件的方法需要被感染用户一系列动作才能成功感染（比如打开邮件附件）。

另一种传播恶意软件的方式就是Exploit kit(EK)。当潜在的受害者浏览网站时，EKs在幕后运行。EK不需要用户进行额外的操作。

EKs 是一种非常复杂的传播方式。恶意软件通过EK调用其他能够导致恶意软件感染事件链中的其他组件。这篇博客是旨在容易理解Angler EK机制的两篇文章的第一部分。这里我们关注以Microsoft Windows系统为目标的EK。Windows任然是很受欢迎的系统，并且是犯罪分子通过EK实施网络犯罪的主要平台。

定义

为了能更好的理解EKs,你应该理解如下术语。

漏洞（Vnlnerability）——导致未授权访问或攻击以及其他恶意行为的软件意外缺陷。

漏洞利用代码（Exploit）——应用漏洞或者系统漏洞的某个文件或者一段代码。

漏洞利用工具（EK）——利用基于浏览器的软件应用漏洞实施漏洞利用的服务框架，从而在用户不知情的情况下，感染Windows桌面或者平板电脑。

恶意软件（Malware）——当使用EK攻击成功后，EK传播的恶意载荷。EK载荷就是感染Window计算机的恶意软件（EXE或者DLL文件）。

实施者（Actor）——一系列恶意软件背后的个人或者犯罪组织。

违法活动（Campaign ）——使用EKs和某些基础设施进行的一系列攻击，是受害者重定向到EK。

EK是不能把恶意软件投递到某个系统的。使用者必须重定向到某个EK服务之后才能传播恶意软件。实施者必须通过一系列违法活动引导受害者访问EK。

实施者总是对他们传播的恶意软件的特征进行标识。在受害者访问某个EK之前，实施者总是对前期活动特征进行标识。实施者和违法活动是两个不同的项目。一个实施者可以使用一个或者两个违法活动进行恶意软件的传播。而更多的实施者使用同样的违法活动传播不同的恶意软件。

举个例子，一个CryptXXX恶意软件幕后的活动者使用多个违法活动传播恶意软件。我们已经发现至少两个不同的违法活动pseudo-Darkleech和Afraidgate传播CryptXXX恶意软件。还有一个多个实施者使用同一个违法活动EITest campaign的例子。我们已经注意到不同类型的恶意软件使用同一个违法活动。

EK即服务

很多EKs的作者使用软件即服务的商业模式。这种模式有时也叫做平台即服务、恶意软件即服务或者EK即服务。

在地下犯罪交易中，EKs通常几千美元每个月。EK拥有者提供购买者一个管理平台从而监督租用的服务，购买者使用该平台攻击IT设施。如前所述，结合EK独特攻击基础设施被视为一场违法活动。

EK中的事件链

在一个使用EK的攻击过程中，下面是感染计算机成功的一个典型事件链。

图1：EK中的事件链

加载网页时事件链的第一步。这种HTML文件被幕后加载，受害者的浏览器是不可见的。加载的HTML网页包包含收集受害者计算机信息的代码，并且查找存在漏洞的应用，这些应用包括Adobe Flash Player、Java Runtime Environment、Microsoft Silverlight还有浏览器（通常是Internet Explorer）以及其他。如果你的计算机补丁打全，所有应用都及时更新，EKs将停止加载这个网页。如果你计算机补丁不全，应用更新不及时，EKs将发送它找到的应用漏洞相应的漏洞利用代码。

EK的漏洞利用代码利用如Flash Player, Internet Explorer等软件的漏洞，偷偷的在目标主机上运行恶意软件。通过查询Mitre.org的CVE漏洞数据库，你会发现EK的漏洞利用代码主要利用可执行任意代码类型的漏洞。针对Flash, Java, 或者Silverlight，EK会发送特定类型的文件。针对Web浏览器，漏洞利用代码被包含在HTML中。

EK的载荷就是用来感染Windows计算机的EXE或者DLL类型文件。有的载荷也许是文件下载器，主要功能是接收其他类型恶意软件。有的载荷就是最终的恶意软件。更高级的EKs会使用网络发送简单的XOR加密二进制数据或者RC4加密算法的密钥。加密的二进制数据随后被加密或者在受害者的机器上被执行。

EK从来不单独存在

EK通常在一个违法活动中运作。大多数前期活动使用一个破损的网站来重定向流量指向EK。这提供了一个笔直的事件链，如下图所示

图2：相关前期活动笔直的事件链

受损的网站网页中包含恶意的代码，一些前期活动中的网页恶意代码相当简单。

图3：一个指向EK前期活动中感染恶意的代码网站网页

 

 上图网页中感染的恶意的代码是一个iframe元素直接指向EK加载页面。EK加载页面被黄色高亮标出。请注意，iframe元素拥有negative属性值，这样在浏览器中该元素内容不会被显示。

在其他情况中，感染代码被高度混淆。下面是2016年5月感染脚本的例子。例子来源于pseudo-Darkleech 违法活动中受损的网页。

图4：2016年5月pseudo-Darkleech 违法活动中受损的网页感染代码

很多前期活动在EK服务器和受损页面中间使用额外的服务器。这类额外的服务器被称作“门卫”，作用类似于EK的门卫。有时，这种“门卫”只允许Windows主机链接到EK服务器。如果你使用Macbook或者Linux主机，“门卫”检查HTTP协议中的user-agent头部，使你的主机不加载EK加载页面。

图5：使用“门卫”的违法活动事件链

下面是2016年3月Afraidgate前期活动的例子。图六显示的是指向“门卫”URL地址的受损网站感染脚本。图7展示了“门卫”返回Nuclear EK加载页面iframe元素的脚本。

图6：指向“门卫”受损页面的感染脚本

图7：从2016年3月Afraidgate违法活动中“门卫”传输流量

在其他案例中，一个前期活动会使用多个“门卫”。这些门卫有时是合法的服务，比如Pastebin。这些服务一般是幕后实施者使用的。

图8：2015年11月的一个前期活动中使用的多个“门卫”

恶意广告（Malvertising）

Malvertising是“malicious advertising”的组合。恶意广告使用在线广告传播恶意软件。许多前期活动使用恶意广告链接作为传播恶意软件事件链的一个环节。

人们在浏览流行得网站例如：纽约时报、Answer.com网页后，点击恶意广告。这些网站得网页没有损坏，但是他们得广告流量有可能受损。恶意广告允许恶意实施者攻击大量潜在受害者。这些实施者使用高级技术来隐藏他们得恶意流量喝重定向行为。而且这样做更容易躲避侦察。

结论

  这里讲解了理解EK得基本概念喝EK工作机制。我们讨论了EKs怎样在地下交易中，被犯罪分子作为平台租用。我们也回顾了在一次前期活动中EKs中得事件链。恶意广告也是很多EK流量类型中得一种。

人们怎幺才能对抗EK呢？实施分层防御策略。首先保证你的应用和操作系统及时更新升级。EKs利用没有及时更新得基于浏览器得漏洞感染Windows系统。网络监测是分层防御得第二层。使用相应得安全设备监测EK的活动轨迹。最后是客户终端防御。第二部分会涉及地下黑市中更高级、更高效、更流行的EK：Angler EK。

参考链接

https://unit42.paloaltonetworks.com/unit42-understanding-angler-exploit-kit-part-1-exploit-kit-fundamentals/

本文始发于微信公众号（三里河安全研究）：理解Angler Exploit Kit 第一部分