Archie工具包

Archie工具包在8月已經被人介紹過，因為它使用的都是來自msf的exp模組，當時是把它當作一款很基本的exp工具包。 我們對Archie中所用到的exp進行檢測，發現這款工具包第一次出現是在7月的第一週。然後就一直很活躍。

7月份開始，Archie工具包有了針對CVE-2014-0515 (Flash漏洞)的流量，之後幾個月我們發現了針對CVE-2014-0497 (Flash), CVE-2013-0074 (Silverlight)和CVE-2013-2551 (Internet Explorer)的漏洞利用。到了11月，Kafeine在工具包中發現了新的Flash漏洞CVE-2014-0569

我們的反病毒軟體把Archie工具包所使用的EXP檢測為：

  •  Exploit:HTML/CVE-2013-2551.B
  •  Exploit:JS/ArchieEK.A
  •  Exploit:JS/ArchieEK.B
  •  Exploit:MSIL/CVE-2013-0074.E
  •  Exploit:SWF/CVE-2014-0515.C
  •  Exploit:SWF/CVE-2014-0569.A
  •  Exploit:SWF/Salama.D

革新

像其他exp工具包一樣，這款工具包在幾個月內出現了很大的變化，不僅是支援的漏洞增多了，著陸頁也有了變化。早期的著陸頁直接使用類似”pluginDet.js

以下是一段早期著陸頁的程式碼：

然而，11月的時候，我們發現了些新的著陸頁的樣本，這些樣本經過混淆，樣本使用隨機的字串而非簡單的描述性的變數名。下圖就是一段新著陸頁的程式碼。

它還會檢查有沒有新的反病毒軟體和VMware檔案：

F-Secure把這些著陸頁檢測為Exploit:JS/ArchieEK.A和Exploit:JS/ArchieEK.B。

URL規則 Archie的URL規則很簡單，使用了描述性的檔名：

  •  http://144. 76.36.67/flashhigh.swf
  •  http://144. 76.36.67/flashlow.swf
  •  http://144. 76.36.67/ie8910.html
  •  http://144. 76.36.67/silverapp1.xap
 

但是最近，我們發現了一些其他的命名規則————使用SHA256字串作為檔名：

  •  http://31. 184.194.99/0d495794f41827de0f8679412e1823c8
  •  http://31. 184.194.99/cd8e0a126d3c528fce042dfb7f0f725055a04712d171ad0f94f94d5173cd90d2.html
  •  http://31. 184.194.99/9edcdf010cd9204e740b7661e46c303180e2d674417193cc6cbadc861fdf508a.swf
  •  http://31. 184.194.99/e7e8ed993b30ab4d21dd13a6b4dd7367308b8b329fcc9abb47795925b3b8f9d0.swf

以下是我們找到的惡意軟體存放的IP：

根據我們的統計，受影響最嚴重的國家是美國和加拿大。

Archie工具包中最常用的payload是Trojan Clicker。F-Secure反病毒軟體會將下列雜湊值的檔案識別出來：

  •  8b29dc79dfd0bcfb22e8954c65066be508bb1529 - Gen:Variant.Graftor.152508
  •  1850a174582c8b1c31dfcbe1ff53ebb67d8bde0d - Gen:Trojan.Heur.PT.fy4@bOYsAwl
  •  2150d6762db6ec98e92bb009b3bdacb9a640df04 - Generic.Malware.SFdld!!.8499435C
  •  5a89a48fa8ef92d1a4b31ee20f3f630e73c1c6c2 - Generic.Malware.SFdld!!.294B1B47

Astrum工具包

Astrum漏洞利用工具包又是今年另一款新工具包。最早於9月被Kafeine報道過，著名的欺詐勒索軟體Reveton也使用了這個工具包。

漏洞支援 最初，它支援CVE-2014-0515/CVE-2013-0634 (Flash), CVE-2013-0074/CVE-2013-3896 (Silverlight), CVE-2013-2551/CVE-2014-0322 (Internet Explorer)和CVE-2010-0188 (Adobe Reader)。2014年10月，Kafeine注意到Astrum工具包開始利用Flash漏洞CVE-2014-8439了。

程式碼混淆

與Archie不同，Astrum在其著陸頁使用了大量的混淆手段。以下的兩段著陸頁程式碼實際上是相同的，但後者在程式碼間加入了大量的垃圾註釋和空格進行混淆，以防被檢測：

Astrum也會分析檢查已安裝的程式和卡巴斯基的外掛：

我們的反病毒軟體把這些著陸頁檢測為Exploit:JS/AstrumEK.A和Exploit:JS/AstrumEK.B。 URL規則

Astrum的URL規則如下：

  •  http://ad7. […].com.ar/QRtVMKEnSCR8eD9fnxd2SHxwOl7GRXQaKC5kXc4ULxt6IWlcy0omTTI9bg-cDmhPKQ..
  •  http://adv2. […].com.ar/Zhc_UrNYeTNRKVVsiDscWV57AGvSbhcJAy5baY0-EA4NLFQ73WETCxUxBG2OcVlYDg..
  •  http://pic2. […].net.au/nGtsDdma82ajBwA2t_jOC6FUCjW--MsC-FVZYeOuywn3BgYy4fPIV-9NVTjks9MO8w..
  •  http://pic2. […].net.au/nHEeB7017BijH3duhVKAdqJJJDvcVtIh90UvaNdf03ylHSY7gwrQJu9XJzKAHMxw8w..
  •  http://cdn-net4. […].net.au/Y9fEaE97uN9d7v0FdRyCs1yy_wopS9zhDO_3CSVI3uAI7KhQI0fV4RDx_1R3Upi0Cg..
  •  http://cdn-net8[…].net.au/4xuNWu0qxwyNdLxn0xysbIsg6jPeTq9jjnO5MNsZoWPTcbNqgBL_PJA9tmbVA-dnig..

以下是我們找到的Astrum惡意軟體存放的IP：

根據我們的統計，這些國家受到Astrum影響：

Archie和Astrum只是兩個新出現的工具包。類似的新工具還有很多：Rig, Null Hole, 和Niteris (CottonCastle)，還有些正在不斷革新：Angler, Nuclear, Neutrino, FlashEK, Fiesta, SweetOrange等等。 非常值得注意的一點是，這些工具包會檢查反病毒檔案、VMware檔案和其他的分析工具，這已經變得越來越普遍。Nuclear和Angler也會進行檢查，避免被病毒研究人員分析。要想了解更多，詳見Kafeine的部落格。

此文來自Freebuf黑客與極客

網路安全