RIG漏洞利用工具包开始利用PROPagate注入技术来散布门罗币矿工

网络安全公司FireEye于上周发文称,自2017年4月以来,活跃度开始有所下降的RIG漏洞利用工具包(EK)最近再次引起了安全社区的注意。

网络安全公司FireEye于上周发文称,自2017年4月以来,活跃度开始有所下降的RIG漏洞利用工具包(EK)最近再次引起了安全社区的注意。因为调查发现,它已经开始利用PROPagate注入技术来交付并执行加密货币挖矿恶意软件,其目标针对的是门罗币。
PROPagate可以说是一种相对较新的代码注入技术,它由来自Hexacorn的安全研究员Adam在去年底发现。该技术利用了合法windows GUI管理API和函数的通用属性,并且影响的主流Windows版本上的多个应用程序。例如,Windows资源管理器、Total Commander(一款功能强大的文件管理器)、Process Hacker(一款开源的进程浏览器和内存编辑器)和Ollydbg(一款动态追踪工具)等。
尽管PROPagate代码注入技术被认为极具威胁性,但从相关报道来看,在实际攻击活动中,它并没有被广泛利用。因此,它开始被RIG EK所使用自然引起了安全研究人员的注意。
在本案例中,当用户访问一个在iframe中加载RIG EK着陆页面的受损网站时,攻击链就开始了。RIG EK将使用各种技术来交付NSIS(Nullsoft脚本安装系统)加载程序,该加载程序会利用PROPagate代码注入技术将shellcode注入到explorer.exe中。这个shellcode会执行下一阶段的有效载荷,下载并执行门罗币矿工。
RIG漏洞利用工具包开始利用PROPagate注入技术来散布门罗币矿工

攻击者使用了多个有效载荷和反分析技术来绕过分析环境。RIG EK下载的第一个有效载荷是一个编译后的NSIS可执行文件,众所周知,它被称为SmokeLoader。除NSIS文件之外,有效载荷还包含两个组件:一个DLL和一个data文件,分别被命名为'kumar.dll'和'abaram.dat'。其中的DLL包含一个由NSIS可执行文件调用的导出函数。这个导出函数包含读取和解密data文件的代码,这将导致生成第二阶段的有效载荷(一个可移植的可执行文件)。
第二阶段的有效载荷是一个高度混淆的可执行文件。在入口点,可执行文件包含用于检查从Process Environment Block(PEB)中提取的操作系统主版本的代码。如果操作系统版本值小于6(在Windows Vista之前),可执行文件则会自行终止。它还包含检查可执行文件是否处于调试模式的代码,从PEB的偏移量0x2中提取。如果设置了BeingDebugged标志,可执行文件则会自行终止。
恶意软件还会通过打开值为0 的注册表项HKLM\SYSTEM\ControlSet001\Services\Disk\Enum来实现反虚拟机检查。它将检查注册表值的数据是否包含字符串vmware、virtual、qemu或xen。这些字符串中的每一个都代表了虚拟机。
在运行反分析和环境检查后,恶意软件开始执行核心代码,以执行恶意活动。第三阶段有效载荷也是一个PE可执行文件,但开发者修改了该文件的标头,以避免在内存扫描中被检测为PE文件。
为了在系统中保持持久性,恶意软件会在%startup%文件夹中安装计划任务和快捷方式文件。计划任务被命名为“Opera Scheduled Autoupdate {Decimal Value of GetTickCount()}”。然后,恶意软件与恶意URL进行通信,以下载最终的有效载荷,也就是文章开头提到的门罗币矿工。
FireEye在文章最后总结说,尽管在他们的观察中基于漏洞利用工具包(EK)的恶意活动一直在减少,但RIG EK开始利用相对较新的PROPagate进程注入技术来绕过安全检测并散布门罗币矿工的事实说明,犯罪集团并没有放弃此类工具。

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

分页:12
转载请注明
本文标题:RIG漏洞利用工具包开始利用PROPagate注入技术来散布门罗币矿工
本站链接:https://www.codesec.net/view/577428.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(9)