Underminer通過加密的TCP隧道提供Bootkit以及挖礦惡意軟體

近日，Trend Micro網路安全解決方案團隊發現了一個新的漏洞利用工具包，我們命名為Underminer，它可以利用其他漏洞利用工具包使用的功能來阻止研究人員跟蹤其活動或逆向工程有效載荷。Underminer提供了一個感染系統引導扇區的bootkit以及一個名為Hidden Mellifera的加密貨幣挖掘惡意軟體。Underminer通過加密傳輸控制協議（TCP）隧道傳輸惡意軟體，並使用類似於ROM文件系統格式（romfs）的自定義格式打包惡意文件。這導致漏洞利用工具包及其有效負載難以分析。

Underminer的活動於7月17日開始，主要向亞洲國家分發其有效載荷。隱藏的Mellifera於5月出現，據報道稱，影響了多達50萬台機器。隱藏的Mellifera的作者也與2017年8月報道的瀏覽器劫持木馬Hidden Soul有關。這種相關性表明Underminer是由相同的網路犯罪分子所開發的，因為Underminer也推動了Hidden Mellifera。然而Underminer是通過廣告伺服器提供的，該伺服器的域名是使用Hidden Mellifera開發人員使用的電子郵件地址註冊的。

Underminer的能力圖1. 從7月17日到7月23日Underminer活動的國家分布

Underminer配備了其他漏洞利用工具包也採用的功能：瀏覽器分析和過濾、防止客戶端重訪、URL隨機化和有效負載的非對稱加密。Underminer的登錄頁面可以通過用戶代理分析和檢測用戶的Adobe Flash Player版本和瀏覽器類型。如果客戶端的配置文件與他們感興趣的目標不匹配，則他們不會傳送惡意內容並將其重定向到普通網站。Underminer還為瀏覽器cookie設置了一個令牌; 如果受害者已經訪問了漏洞攻擊包的登錄頁面，則不會推送有效負載，而是會傳遞HTTP 404錯誤消息。這可以防止Underminer攻擊同一個受害者，並可以有效的阻止研究人員通過重新訪問他們的惡意鏈接來重現攻擊。

圖2. Underminer的流量模式利用CVE-2016-0189（上），CVE-2015-5119和CVE-2018-4878（下）

Underminer如何隱藏其漏洞

Underminer使用RSA加密來保護其漏洞利用代碼並防止其流量被重放。在利用漏洞之前，Underminer會生成一個隨機密鑰並將其發送到其命令和控制（C＆C）伺服器。然後，此密鑰用於加密其JavaScript代碼和漏洞利用，在HTTP響應標頭「X-Algorithm」中指定對稱加密演算法，並將其發送回受害者。他們在我們的測試中使用的對稱演算法是RC4或Rabbit。

收到響應後，用生成的密鑰解密代碼並執行它。Underminer還在密鑰傳輸期間使用RSA加密來進一步保護它（隨機密鑰使用嵌入在其代碼中的公鑰加密）。不過只有Underminer的運營商知道它只能通過私鑰解密。即使漏洞利用工具包的網路流量可見，或文件樣本就在手邊，也無法對漏洞利用有效負載進行解密。這種技術類似於其他漏洞利用工具包使用的技術，特別是Angler，Nuclear和Astrum，但那些是使用的Diffie-Hellman演算法。

圖3.使用RSA公鑰加密隨機密鑰的JavaScript代碼片段

Underminer的漏洞

Underminer利用其他漏洞利用工具包和威脅參與者也使用的幾個安全漏洞：

·CVE-2015-5119，2015年7月修補的 Adobe Flash Player中的免費使用後漏洞。

·CVE-2016-0189，2016年5月修補的Internet Explorer（IE）內存損壞漏洞。

·CVE-2018-4878，Adobe Flash Player中的一個免費使用後漏洞，於2018年2月修補。

利用這些漏洞時，會執行惡意軟體載入程序。每個都有類似的感染鏈，但執行方式不同。在利用CVE-2016-0189時，通過regsvr32.exe執行包含JScript代碼的scriptlet（.sct文件）。JScript代碼將刪除將使用rundll32.exe執行的動態鏈接庫（DLL），該庫將從漏洞利用工具包載入並執行第二階段下載程序。

利用Flash漏洞時，Underminer將直接執行shellcode以下載沒有MZ標頭的可執行文件。這類似於從scriptlet中刪除的第一個載入器或DLL。載入程序將檢索相同的第二階段下載程序，然後將其注入新打開的rundll32.exe進程。Flash漏洞的感染鏈實際上是無文件的，直到系統中安裝了惡意軟體。我們的技術簡介中進一步解釋了第二階段下載器如何通過加密的TCP隧道傳送bookit和cryptocurrency-mining惡意軟體。

圖4. Underminer漏洞的感染流程

解決方案

與之前的其他漏洞一樣，我們希望Underminer能夠磨練他們的技術，進一步混淆他們提供惡意內容的方式，並利用更多的漏洞，同時阻止安全研究人員調查他們的活動。鑒於其運營的性質，我們也期望它們使其有效載荷多樣化。

現在開發工具包可能會坐失良機，但破壞者表明，他們仍然是相關的威脅。他們強調了現實生活中的重要性，對於許多企業來說，「修復」將是一個長期的挑戰 。對於組織而言，漏洞利用工具包可能需要與時間賽跑。漏洞可以在任何給定時間公開，並且它們的暴露窗口可以打開未打補丁的系統，以及存儲在其中的個人或業務關鍵數據，以進行未經授權的訪問或修改。以下是一些比較合適的做法：

·保持系統及其應用程序的更新，並考慮虛擬補丁，尤其是遺留系統和網路。

·積極監控網路：防火牆和應用入侵檢測和防禦系統提供了針對惡意流量的安全層。

·實施最小特權原則：限制或禁用可用作入口點的不必要或過時的應用程序和組件。

·通過應用安全機制（如應用程序控制和行為監控）來實施深度防禦，以防止未經授權或惡意的應用程序或進程執行。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！