Sundown攻擊套件的升級

新聞 01-12

Exploit Kit行業目前正在發生新的調整，原先許多具有攻擊性的漏洞攻擊套件或者消失，或者市場份額減少，比如Nuclear EK和AnglerEK這樣的行業大鱷幾乎在同一時間消失了，我們推測這可能與相關的俄羅斯黑客組織被捕有關。

目前網路上，被黑客利用最多的是Neutrino，RIG和Sundown，它們被用于勒索軟體傳播等黑客攻擊。

什麼是Sundown？

Sundown是近兩年才異軍突起的漏洞利用套件，填補了Angler和Nuclear這些大鱷的空缺。早在2015年，安全研究人員就已經發現了Sundown，但當時Sundown還並不是很起眼。現在隨著Sundown EK的興起，其開發者也對這個套件進行了不斷的升級，以不斷滿足各種攻擊的需求。

但由於Sundown開發時間較短，還缺乏其他大型漏洞利用套件的複雜性，另外在其Sundown的攻擊代碼中還出現了很多簡單的，易於被檢測到攻擊標識符，所以Sundown EK也在這些方面進行了大量的升級。比如研究者發現，近期Sundown已經批量購買了很多到期的域名。

正在進行的升級

比如，為了提高攻擊效率，Sundown的開發人員曾將控制面板和DGA演算法部分外包給了一家叫做」YBN（Yugoslavian Business Network）」的組織，同時他們還移植了大量其他套件裡面的漏洞利用代碼。

Sundown包含了從Angler中移植的CVE-2015-2419代碼，RIG的Silverlightexploit CVE-2016-0034，Hacking Team的CVE-2015-5119以及Magnitude 的CVE-2016-4117。

Sundown登陸頁會進行簡單的瀏覽器環境檢查，不同的環境執行不同的payload，另外Sundown還曾經利用了許多Adobe Flash的漏洞。

直接訪問Sundown登陸頁會得到一個html頁面，裡面的數據解密後得到YBN組織的標誌：

YBN組織的標誌，而不包含惡意代碼，只有請求中包含特定HTTP Referer才能攻擊成功。

但由於這些移植過來的套件代碼很容易在HTTP標頭以及組織標識中被發現，而這些標識又是Sundown URL的用戶用於經常瀏覽的。所以在過去幾個月，這些移植過來的套件代碼已經被Sundown的研發人員刪除了。如下圖所示，用於清楚識別YBN的HTTP標頭現在已經沒了。

原先可以識別出YBN的版本

目前沒有YBN的登陸頁版本

此外，如果用戶嘗試瀏覽登陸頁網址，那麼他們將會得到「HTTP 404」這樣的錯誤提示。但是，與登陸頁有關的其他更重要的升級正在進行中。以下是幾個月前從Sundown看到的原始登陸頁面。

這與RIG攻擊套件有一些顯著的相似之處，包括所有使用基於base64編碼的文本塊的三個變數。這非常類似於RIG使用"s"變數，這些變數也涉及檢索惡意swf文件。除此之外，我們還發現了Sundown使用了幾種其他類型的混合代碼，其中包括許多不同的字元。下面的例子顯示了使用ASCII chr（）語法來作為混淆模式，這些都是在查看混淆代碼時發現的常見技術。

原先的登陸頁有很多變化，第一個變化可以在上面這個圖中看到。Sundown的研發者現在已經對很多個移植過來的標識符進行了修改，比如，使用"s"變數已被替換為隨機字元串了。

從上圖中，我們可以看到使用ASCII chr（）的字元已被替換成十六進位的了，最近的Sundown登陸頁的相關代碼中有很多注釋。

Sundown已經開始使用Lorem Ipsum的文本。 Lorem Ipsum是一篇常用於排版設計領域的拉丁文文章，主要的目的為測試文章或文字在不同字型、版型下看起來的效果。基本上，Sundown登陸頁面充滿了隨機的文字評論，以進一步試圖阻礙分析。

回到Sundown登陸頁面的解碼版本，我們可以看到與利用頁面的URL結構相關的其他幾個更改。以前，Sundown使用的是數字子文件夾（即"/ 12346 /"）和具有適當擴展名的數字文件名（即"/496.swf"）。現在較新版本的Sundown對其進行了更改，下圖就顯示的是惡意Flash文件的其中一個請求。

語法現已更改為僅使用數字字元串作為查詢請求「/ 7 /」的子文件夾，一些請求還將包括ID參數，此外，不再包含擴展。目前，我們還沒有發現任何Silverlight漏洞，這表明Sundown已經放棄了試圖利用Silverlight瀏覽器插件中的漏洞。日前，許多利用Silverlight的工具已經添加了一個基於公開PoC的Microsoft Edge漏洞。因為在目標網頁本身還有另一個PoC存在的漏洞，所以這是Sundown中唯一的瀏覽器漏洞利用。

Sundown目前似乎仍然正在利用CVE-2016189，這是Internet Explorer和Windows的JScript和VBScript腳本引擎中的遠程執行代碼漏洞。在我們對漏洞套件登陸頁的分析中，發現了另一個編碼的漏洞利用頁面。

如上圖所示，我們發現，日前Sundown的開發者還在繼續複製以前使用過的漏洞PoC，其中就包含CVE-2010189，不過，與PoC最大的不同是包含兩個函數：overwrite2（）和fire（）。 fire（）是從exploit（）函數調用的主要函數，代替了PoC中原來的「notepad.exe」的執行，而與此同時，fire（）包含了開始執行有效載荷下載並通過cmd.exe執行的代碼。

另外值得注意的是黑客藉助Sundown來破壞系統，大多數漏洞利用套件將嘗試在系統上漏洞攻擊。通常我們會看到針對IE腳本的漏洞以及幾個惡意的Flash文件，這種方法雖然非常混雜，但是也讓Sundown成為黑客們的最佳選擇。

有效載荷變化

我們在Sundown注意到的最大變化之一就是檢索其有效載荷的方式，以前版本的Sundown將通過Web瀏覽器檢索文件名為「z.php」的有效載荷，雖然新版本也要搜索文件名為「z.php」的有效載荷，但獲得有效載荷和有效載荷位置的方法都有所改變。

Sundown現在通過命令行並使用wscript來檢索其有效載荷，類似於RIG-v當前檢索其有效載荷的方式。這並不奇怪，因為Sundown就是以「借用」其他套件的技術和方法而成長起來的。以下是兩個cmd.exe的獲取請求，一個來自Sundown，一個來自RIG-v。在許多相似之處，代碼都是一樣的。顯然，Sundown是從RIG-v套件移植過來的這部分代碼。

Sundown有效載荷

RIG有效載荷

另一個變化是效載荷與用於檢索登錄和頁面利用的伺服器的位置分開了，雖然兩個伺服器共享一個共同的根域，但使用不同的子域：

不過目前，我們還無法訪問Sundown的後端系統，無法確定這些文件的來源是否相同。但是，這是目前僅實現拆分伺服器活動的漏洞套件。關於Sundown有效載荷的另一個注意事項是，它們不會被編碼或加密（如上所示），這使得它們易於識別和分析。

監控Sundown的活動

我們一直在分析利用套件的活動，這其中也包括Sundown的活動，在監測Sundown活動的同時，我們也發現了大量的域名基礎設施，並開始深入調查。 Sundown使用域通配符來託管其活動而不是像Angler EK使用域名陰影（Domain Shadowing）技術。域名陰影，是利用失竊的正常域名賬戶，大量創建子域名，從而進行釣魚攻擊。這種惡意攻擊手法非常有效，且難以遏止。因為你不知道黑客下一個會使用誰的賬戶，所以幾乎沒有辦法去獲悉下一個受害者。

影響到域內任何內容的所有流量，可以導致所有子域都開始向客戶端重定向到惡意內容，例如，通過使用通配符，網站的通用子域名為「www」，此子域將受到影響，將重定向到惡意伺服器。於是，我們便開始尋找受影響的子域，以及它們之間的共同點。首先是與域名關聯的註冊人帳戶使用的名稱。在調查Sundown活動時，我們多次使用名稱「Stivie Malone」帳戶進行登錄的，另外我們還有一個常見的電子郵件地址是stiviemalone@gmail[.]com。非常有趣的一件事是，使用這個帳戶的域名數量非常龐大。通常，當我們正在運行用於惡意活動的註冊人帳戶時，只有一百個或更少與該帳戶相關聯的註冊人。在域名陰影的情況下，註冊人帳戶如果遭到入侵，用戶通常不了解該情況。隨著我們調查的繼續深入，我們最終找到了一個正在利用gmail處理方式的註冊人。利用這個電子郵件地址，我們發現了幾個不同的註冊人賬戶被綁定到同一個@gmail[.]com帳戶。以下是發現的「stiviemalone」註冊人帳戶的變體案例。

然後，我們開始使用名稱「Stivie Malone」進行轉移，並使用不同的電子郵件地址找到第二個註冊人帳戶，該電子郵件地址也用於託管Sundown。該註冊人與porqish@europe[.]com的電子郵件地址有關。經過調查，我們發現與porqish@europe[.]com相關的總共有3000多個域名。

基於這些信息，我們開始深入挖掘這些註冊用戶如何擁有這樣的非法活動域名，雖然域名註冊商會對特定類型的TLD或其他域名進行促銷，然而，我們所發現的這些域名是轉移行為而不是購買行為。於是，我們開始研究這個特定的用戶名，原來這是一個域名轉售網路，專門用來大量購買過期或即將到期的域名。

域名轉售

我們對這個特定演員的深入調查開始於大多數域名註冊時所使用「Stivie Malone」的名稱。由於這是一個奇怪的拼寫名稱，所以我們最開始的時候，對其進行了一個簡單的Google搜索。如下所示，Google搜索頂部的結果與namepros [.]com綁定，該網站是域名轉售網站。

域名的轉售是個人使用的常見策略，嘗試從已經註冊的域名中獲取價值，特別是如果這些域名即將到期。在經銷商不打算續訂的情況下，轉售可以讓他們從中獲得一些剩餘價值。於是，我們開始關注與這個特定用戶相關的活動，並發現了一些相關的帖子。

如上圖所示，這個用戶就是在專門尋找大量的域名，並且這些域名最好在godaddy註冊過。再看下一個回帖。

在上圖中，我們可以清楚的看到，第一個帖子中的那位買家表現出對godaddy和namecheap註冊域名的特別偏好。此外，我們還可以從中看到這些域名的買賣價格在0.10美元到0.60美元之間，並且不管在何種情況下，所使用的付款方式都是比特幣。這就是這是一個很有吸引力的買賣渠道，購買者可以以很少的價格來購買到足夠多的可用於攻擊的域名。有趣的是，在其他一些帖子中，買家特別討論了只需要能運行一周的域名。

這裡我們發現了一個關鍵，如果買家購買域名的活動期限超過六個月，一些組織和技術機構就會將其定位合法域，因為這些組織會將域的使用期限視為評估域的合法性的一種標準。例如，一些技術機構會將在最近的X天註冊的域默認為禁止選項，而買家通過購買超過六個月的域名，就可以讓攻擊者繞過這種禁止選項。另外值得注意的是，這個買家並沒有購買域名的特定時間段，我們所找到的該用戶活動，都是來自最近幾個星期。

根據這些信息，我們目前還無法確定這些域購買是否確實發生過。然而，在挖掘註冊人信息時，我們可以找到該用戶購買大量域名的其他實例。最近的一個是在2017年完成的，在這幾年裡至少有500個域名被轉移。然而這些被託管的域，正是幾天之前，我們所發現的Sundown活動的域。有趣的是，與該用戶相關聯的簽名塊顯示了這些域可能遇到與其基礎架構有關的問題。

諷刺的是，在我們與這個買家進行溝通後，他竟然聲稱他們從來沒有與從任何人發生過交易，他只說進行這種域名的買賣是不道德的。利用漏洞套件對這些域名進行的一些最常見的有效載荷是進行勒索和銀行木馬。

我們還觀察到這個買家試圖在尋求比特幣和PayPal之間如何進行金額轉換的幫助，看來這位買家正在嘗試設置託管服務，他聲稱在整個交易量中一共使用過70個比特幣，並提供5％的轉換傭金。

正如我們在過去的域中發現的，託管惡意活動通常會在根域名上託管某種網頁。對於這個買家也是如此，他似乎專門針對某種默認的域名管理頁面進行買賣，如下所示。

此外，我們還根據這個買家帖子中的電話號碼，進行了一些相關性搜索，發現它出現在一些主要的域名註冊商網站上，似乎是GoDaddy及其子公司的技術支持號碼。

Sundown的活動突然越來越隱蔽

正在我們正在與GoDaddy合作來進行相關活動的調查期間，我們觀察到這些域名的買賣活動突然停止了，連來自Sundown的這些帳戶的活動也停止了，我們注意到，買家已經開始出售這些以前使用的一些域名了。

經過進一步調查，我們確實發現了另外的有關Sundown的活動，這些活動正託管在與之前相同的購買過來的域名上。最新的Sundown已經不再使用Stivie Malone的任何變體，並已轉移到完全隱私保護模式。此外，他們不再利用GoDaddy，而是轉移到歐洲以外的註冊商。最後，我們還沒有查到與現有域名銷售有關的額外活動。所以到現在為止我們還沒有辦法知道為什麼Sundown的活動突然越來越隱蔽，但不管域名是否與GoDaddy有關，都無法阻止買家將以前的惡意域名轉售給其他用戶。

IP基礎設施

在收集域架構數據後，我們開始分析在這個活動中使用的IP基礎結構。通常，我們看到的利用套件伺服器的活動時間期限都特別短，通常不超過幾天。這點很重要，因為伺服器能被快速識別和列入黑名單，並被域名提供商關閉。但Sundown EK 里的域名似乎並不遵循這個規律，在某些情況下，伺服器往往會允許這些域名運行很長的時間。

此外，Sundown EK的最新活動也顯示了與過去利用套件活動相同的特點，比如，某些域名提供商已被大量槓桿化，並且有一些IP地址似乎是一個連續的地址塊。這通常表示在伺服器被阻塞或關閉時，有買家購買了一組伺服器並從一個伺服器移動到了另一個伺服器。以下是通過IP進行旋轉的圖例，類似於過去Angler漏洞套件。