天行-亚搏体育苹果下载-亚搏体育苹果版官方下载

在上个月,网络安全公司趋势科技( Trend Micro)发现了一种能够利用Adobe Flash和IE浏览器最新漏洞的新型漏洞利用工具包,名为“Capesand”。

分析显示,Capesand集合了大量在网上就可以找到的漏洞利用代码,其中一个IE浏览器漏洞甚至是在20标签315年被公开披露的,距今已近5年的时间。

发现过程

在10月中旬,趋势科技发现了一场利用Rig漏洞利用工具包来传递DarkRAT和nj标签5RAT恶意软件的恶标签1意活动。

但到了10月底,重定向不再指向Rig漏洞利用工具包,而是一种此前从未被公开披露过的漏洞利用工具包——Capesand。

图1. Capesa标签20nd漏洞利用工具包面板

图2. Capesand漏洞利用工具包的流量模式

与其他工具包相比,Capesand漏洞利用工具包的代码非常简单,几乎全都是从网上复制过来的,就连混淆和打包技术也都是直接照搬。

恶意活动

恶意网站伪装成一个天行-亚搏体育苹果下载-亚搏体育苹果版官方下载讨论“区块链”的博客网站,但实际上包标签1含一个隐藏的iframe,用于加载漏洞利用工具包。

图3.恶意网站页面

在10月中旬,隐藏的iframe加载的是Rig漏洞利用工具包。到了10月底,iframe被更改为天行-亚搏体育苹果下载-亚搏体育苹果版官方下载了加载“landing.php”——托天行-亚搏体育苹果下载-亚搏体育苹果版官方下载管在同一台服务器上的Capesand。

图4.隐藏的iframe重定向到Rig漏洞利用工具包(上)和Capesand漏洞利用工具包(上)

Capesand漏洞利用工具包

通过Capesand的面板,攻击者可以下载前端源代码、部署自己的服务器,以及查看当前的使用状态。

前端源代码看上去与被命名为“Demon天行-亚搏体育苹果下载-亚搏体育苹果版官方下载 Hunter”的老天行-亚搏体育苹果下载-亚搏体育苹果版官方下载旧漏洞利用工具包的源代码非常类似,这使得趋势科技相信它很有可能标签10就是Capesan标签17d的前身。

除了能够利用Adobe Flash漏洞CVE-2018-4878以及IE浏览器漏洞CVE-2018-8174之外,Capesand还能够利用CVE-2019-0752,这是一个在今年4月份才被公开披露的IE浏览器漏洞。

图5.Capesand登录页面标签5脚本检查IE版本并加载CVE-2018-8174漏洞利用代码天行-亚搏体育苹果下载-亚搏体育苹果版官方下载或标签19CV标签3E-2019-0752漏洞利用代码

图6. Capesand天行-亚搏体育苹果下载-亚搏体育苹果版官方下载登录页标签3面脚本检查Flash版本并加载CVE-2018-4878漏洞利用代码

随标签11着调查的深入,趋势科技还发现了一个能够利用IE漏洞CVE-2标签3015-2419的Capesand版本。

图7.携带恶意shellcode的CVE-2015-2419漏洞利用代码

图8.在受感染计算机上执行的标签11恶意shellcode

Capesand攻击链

通过Capesand成功利用漏洞之后,第一阶段将下载mess.exe并尝试利用CVE-2018-8120升级特权,然后执行njcrypt.exe以释放最终有效载标签17荷(如njRAT)。

图9.C标签10apesand攻击链(CVE-2015-2419)

模块CyaX_Sharp.dll会生成一个配置文件来跟踪受感染计算机的配置,标签1并检查杀毒软件ESET是否存在。

图10. CyaX_Sharp.dll检查杀毒软件ESET是否存标签10在

结论

尽管Capesand漏洞利用工具包目标签14前仍处于开发阶段,但已经具备了能够入侵目标计算机的能力,且试图通过蹭一些社会热点(如“区块链”)来吸引更多的受害者。

此外,尽管它利用的都是一些已知漏洞,但通过检查一些杀毒软件的存在,仍能够将检出率控制在最低。